一个毒能绕过卡巴的 杀不了

happynation

中了三次了 似乎能绕过卡巴的墙 不知道是不是我设置的不对

而且也杀不了

具体症状：
建立病毒文件C:\WINDOWS\system32\com\lsass.exe

修改注册表，察看中那个隐藏受保护文件的选项不见了

在本地磁盘建立autorun文件


上网每开一个网页都会自动跳出一个小窗口广告或者自动登陆网站如：http://qzh1.txshi.com/bd.htm

会提示：发现上面这个 病毒，木马程序 Trojan.Win32.Pakes.c        文件: C:\WINDOWS\system32\com\smss.exe/FSG

但实际上杀不了病毒

[ 本帖最后由 happynation 于 2007-2-27 22:56 编辑 ]

黑衣~魂

我複製了樓主的密碼出現密碼錯誤...

66886

密码错误§÷????

happynation

重新上传了一个

黑衣~魂

麻煩樓主了

McAfee 已自動封鎖並移除 特洛伊病毒。

詳細資料
偵測: AdClicker-EY (特洛伊病毒), AdClicker-EY (特洛伊病毒)
檔案路徑: C:\Documents and Settings\all.HOME-\桌面\lsass.exe

小邪邪

发生了有趣的事情：里面只有一个lsass.exe，但是我的mcafee8.5却报了两下，试了几次都一样

D:\Downloads\lsass\lsass.exe\000095d8.EXE\000095d8.EXE AdClicker-EY这个就比较有意思了

小邪邪

看日志的说明是：所在文件夹D:\Downloads\lsass\lsass.exe\000095d8.EXE\000095d8.EXE

这么说的意思就是lsass.exe里面还包含着一个000095d8.EXE??? 呵呵

[ 本帖最后由 小邪邪 于 2007-2-27 23:25 编辑 ]

solcroft

好样本，差点都全挂了
最后还是由Cyberhawk出马...

Antivirus	Version	Update	Result
AntiVir	7.3.1.38	02/27/07	no virus found
Authentium	4.93.8	02/26/07	no virus found
Avast	4.7.936.0	02/27/07	Win32:VB-CMF
AVG	7.5.0.441	02/27/07	no virus found
BitDefender	7.2	02/27/07	no virus found
CAT-QuickHeal	9	02/27/07	no virus found
ClamAV	devel-20060426	02/27/07	no virus found
DrWeb	4.33	02/27/07	Trojan.Rox
eSafe	7.0.14.0	02/27/07	no virus found
eTrust-Vet	30.4.3438	02/27/07	no virus found
Ewido	4	02/27/07	no virus found
FileAdvisor	1	02/27/07	no virus found
Fortinet	2.85.0.0	02/27/07	no virus found
F-Prot	4.3.1.45	02/26/07	no virus found
F-Secure	6.70.13030.0	02/27/07	no virus found
Ikarus	T3.1.1.3	02/27/07	no virus found
Kaspersky	4.0.2.24	02/27/07	no virus found
McAfee	4971	02/26/07	AdClicker-EY
Microsoft	1.22	02/27/07	no virus found
NOD32v2	2083	02/27/07	probably a variant of Win32/Small.NAV
Norman	5.80.02	02/27/07	no virus found
Panda	9.0.0.4	02/27/07	Suspicious file
Prevx1	V2	02/27/07	no virus found
Sophos	04/14/00	02/26/07	Mal/Packer
Sunbelt	2.2.907.0	02/24/07	no virus found
Symantec	10	02/27/07	no virus found
TheHacker	6.1.6.065	02/26/07	no virus found
UNA	1.83	02/26/07	no virus found
VBA32	03/11/02	02/26/07	suspected of Embedded.Trojan.Win32.Pakes.c
VirusBuster	04/03/07 07:09 PM	02/27/07	novirus:Packed/FSG

Aditional Information

File size: 49152 bytes

MD5: dde9e9614da8e84eaed4e36be929adb3

SHA1: 11d7994f246b809252bcc816fa890f4f3149c8b6

packers: BINARYRES, FSG

[ 本帖最后由 solcroft 于 2007-2-27 23:26 编辑 ]

solcroft

原帖由 小邪邪 于 2007-2-27 23:23 发表
看日志的说明是：所在文件夹D:\Downloads\lsass\lsass.exe\000095d8.EXE\000095d8.EXE

这么说的意思就是lsass.exe里面还包含着一个000095d8.EXE??? 呵呵

我尝试用7-zip解压，结果失败，捉得到样本的话麻烦丢上来一下

用虚拟机测试，一共生产了三个生成物，一个是autorun.inf，另外一个是把自己复制到%System%\Com\文件夹，最后再把一个smss.exe也丢到%System%\Com\里去，这个卡巴报了Trojan.Win32.Pakes.c已知木马。样本修改了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden值，不让用户查看隐藏文件，最后又从js.hoyxia.com下载了不知什么咚咚...

[ 本帖最后由 solcroft 于 2007-2-27 23:44 编辑 ]

mofunzone

雨伞干掉
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\lsass.rar'
C:\Documents and Settings\Administrator\My Documents\
  lsass.rar
    [0] Archive type: RAR
    --> lsass.exe
        [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/FSG). Please verify the origin of the file
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!