感染型病毒样本+生成物+被感染文件。

显示全部楼层 · 发表于 2009-9-15 13:42:42

一个感染型的病毒，Norton特征码不报。

winlog.exe是本体。
eveAutoruns.rar里面是感染阶段的生成物
Autoruns.rar里面是被感染的Autoruns。

本体有连接网络的行为。具体行为分析请看：http://bbs.kafan.cn/thread-555715-6-1.html 55#（AD一下

）

显示全部楼层 · 发表于 2009-9-15 13:55:06

S:\winlog.rar » RAR » winlog.EXE - probably unknown NewHeur_PE virus
S:\Autoruns.rar » RAR » Autoruns.exe - probably unknown NewHeur_PE virus
S:\eveAutoruns.rar » RAR » eveAutoruns.exe - probably unknown NewHeur_PE virus
S:\eveAutoruns.rar » RAR » eveNIS09CS-16.5.134.exe - probably unknown NewHeur_PE virus
S:\eveAutoruns.rar » RAR » RCX1.tmp - probably unknown NewHeur_PE virus
S:\eveAutoruns.rar » RAR » RCX2.tmp - probably unknown NewHeur_PE virus

显示全部楼层 · 发表于 2009-9-15 13:57:11

autorun+downloader。。。。。不过下载的地址失效了
http://mlmy.3322.org/update.txt

[ 本帖最后由 The EQs 于 2009-9-15 14:00 编辑 ]

显示全部楼层 · 发表于 2009-9-15 14:06:14

凝逸反毒-pe分析可以修复
凝逸反毒.分析PE,可以修复(NewHeur_PE virus)

---
               凝逸反毒.分析PE-日志
         [凝逸反毒] (http://www.skyfa.com/nyav)
目录:C:\新建文件夹|
      1|c:\新建文件夹\exe压缩.exe|  2C6A307B|
      |┣1       |  D78C3BAA|
      |┣2       |  1AE4FC96|
      2|c:\新建文件夹\pfwliveupdate.exe|  1D74DF01|
      |┣1       |  A4302CC0|
      |┣2       |  5ADC87D6|
      3|c:\新建文件夹\北斗3.5.exe|  20EE44CB|
      |┣1       |  6428E8BB|
      |┣2       |  7475FA0B|
      4|c:\新建文件夹\北斗4.1破解版.exe|  4F2A5471|
      |┣1       |  6428E8BB|
      |┣2       |  0E84EC77|
      5|c:\新建文件夹\winrar.exe|  9AA7E4FC|
      |┣1       |  6FA71243|
      |┣2       |  FE7DEC4A|
      6|c:\新建文件夹\rulewize.exe|  94D76C55|
      |┣1       |  D0E67D30|
      |┣2       |  BDEF5697|
      7|c:\新建文件夹\pfw.exe|  CFDF176B|
      |┣1       |  F6E3EBD7|
      |┣2       |  683AAF5A|
      8|c:\新建文件夹\[1]pfw.exe|  C833E68F|
      |┣1       |  F6E3EBD7|
      |┣2       |  43BE58CC|
CRC:8|13/12

[ 本帖最后由凝逸反毒于 2009-9-15 14:20 编辑 ]

显示全部楼层 · 发表于 2009-9-15 14:07:09

GDATA - Worm.Generic.59763

显示全部楼层 · 发表于 2009-9-15 14:12:13

winlog.rar检测结果：小红伞报告发现 worm/autorun.abt。

显示全部楼层 · 发表于 2009-9-15 15:13:38

瑞星2010

显示全部楼层 · 发表于 2009-9-15 15:50:35

这跟我的样本有关么？

显示全部楼层 · 发表于 2009-9-15 17:21:32

原帖由 jpzy 于 2009-9-15 15:50 发表
这跟我的样本有关么？

运行你的样本
感染的exe

显示全部楼层 · 发表于 2009-9-15 17:33:02

avast! kill

[病毒样本] 感染型病毒样本+生成物+被感染文件。

本帖子中包含更多资源

凝逸反毒-pe分析可以修复

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 4楼凝逸反毒的帖子

[病毒样本] 感染型病毒样本+生成物+被感染文件。

本帖子中包含更多资源

凝逸反毒-pe分析可以修复

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 4楼 凝逸反毒 的帖子

回复 4楼凝逸反毒的帖子