发一个驱动级木马，本人已中招。。

mofunzone

不知道这个病毒已经在我的电脑多长时间了
今天偶然注销系统之后登录的时候antivir居然报有病毒
疑心大起，检查系统。。
折腾了半个小时也没看出个所以然
sreng扫描系统的时候看见两个不知所以的驱动启动项目
发现居然是病毒。。
现在虽然把驱动干掉了，但是开机启动会报缺少dll了。。
vt扫描居然只有一家报。。
无语了。。
大家可以google这个文件名，很多资料。。
AntiVir        7.3.1.38        02.25.2007        no virus found
Authentium        4.93.8        02.23.2007        no virus found
Avast        4.7.936.0        02.23.2007        no virus found
AVG        386        02.24.2007        no virus found
BitDefender        7.2        02.25.2007        no virus found
CAT-QuickHeal        9.00        02.24.2007        Rootkit.Agent.ad
ClamAV        devel-20060426        02.25.2007        no virus found
DrWeb        4.33        02.25.2007        no virus found
eSafe        7.0.14.0        02.23.2007        no virus found
eTrust-Vet        30.4.3424        02.23.2007        no virus found
Ewido        4.0        02.24.2007        no virus found
FileAdvisor        1        02.25.2007        no virus found
Fortinet        2.85.0.0        02.25.2007        no virus found
F-Prot        4.3.1.45        02.22.2007        no virus found
F-Secure        6.70.13030.0        02.24.2007        no virus found
Ikarus        T3.1.0.31        02.25.2007        no virus found
Kaspersky        4.0.2.24        02.25.2007        no virus found
McAfee        4970        02.23.2007        no virus found
Microsoft        1.2204        02.25.2007        no virus found
NOD32v2        2079        02.24.2007        no virus found
Norman        5.80.02        02.23.2007        no virus found
Panda        9.0.0.4        02.24.2007        no virus found
Prevx1        V2        02.25.2007        no virus found
Sophos        4.14.0        02.24.2007        no virus found
Sunbelt        2.2.907.0        02.24.2007        no virus found
Symantec        10        02.25.2007        no virus found
TheHacker        6.1.6.064        02.25.2007        no virus found
UNA        1.83        02.23.2007        no virus found
VBA32        3.11.2        02.24.2007        no virus found
VirusBuster        4.3.19:9        02.24.2007        no virus found

Aditional Information
File size: 33952 bytes
MD5: aad837bf3b475092fd515cd0842334e9
SHA1: 2f845acac30e40d5aea3ccf8d02f5226089366a5

[ 本帖最后由 mofunzone 于 2007-2-24 23:48 编辑 ]

绅博周幸

Thank you for your submission. Below you can see the current status of the uploaded files.


--------------------------------------------------------------------------------


We received the following archive files:



File ID  Filename  Size (Byte) Result
210806  oreans32.rar 16.016 OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename  Size (Byte) Result
210805  oreans32.sys  33.952  UNDER ANALYSIS


Please find a detailed report concerning each individual sample below:

Filename Result
oreans32.sys  UNDER ANALYSIS

The file 'oreans32.sys' has been determined to be 'UNDER ANALYSIS'.


--------------------------------------------------------------------------------
Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.
Print this page

allenhippo

既然多引擎里红伞查不出来那是怎么发现的?

mofunzone

原帖由 allenhippo 于 2007-2-24 23:59 发表
既然多引擎里红伞查不出来那是怎么发现的?   

这个驱动失败就失败在他开机的时候要用rundll32来加载dll，结果那个dll被antivir杀了，顺藤摸瓜就找到了这个东西。。
现在正在测试另外一个sys，怀疑还是一个木马

allenhippo

也有可能是正常的驱动

oreans32.sys
OREANS32.SYS is a part of OREAN software.
OREANS32.SYS is used for protection of system.
Manufacturer: Oreans Technologies
www.oreans.com

hsjj2005

费尔

hsjj2005

卡巴KIS6.0 今日25号15:44分病毒库未检测到威胁。

jlennon

嗯 费尔还真是不错呢

worker321

avk,小红伞，蜘蛛都挂！！

mofunzone

真是可惜了，还有一个驱动级木马的，文件叫做ophad.sys的
这个病毒采用了和my123这种病毒完全相同的写法，内存映射，而且应该是在第一代之后的产物，因为这个文件在删除之后会从新自我恢复，有一个winroute的键值，而且断电对这个文件无效，但是这个文件有一个缺点，不会随机生成sys文件名，给了我可乘之机，让我在ntfs dos下干掉了。。
现在好后悔，当时忘了复制一份了。。