收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 modification of BackDoor.Generic.349
12下一页
返回列表 发新帖
查看: 3967|回复: 12
收起左侧

[病毒样本] modification of BackDoor.Generic.349

[复制链接]
idontknow
发表于 2009-9-27 12:35:40 | 显示全部楼层 |阅读模式

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kingmuro
头像被屏蔽
发表于 2009-9-27 12:40:20 | 显示全部楼层
过诺顿10.0


上报
回复

举报

xiaohai95
发表于 2009-9-27 12:48:48 | 显示全部楼层
AdWare.Win32.Agent.hwk (广告软件)

    * D:\SAMPLES\ad.rar\ad.exe
回复

举报

Soma Cruz
发表于 2009-9-27 13:10:33 | 显示全部楼层
D:\TDDownload\ad.rar > RAR > ad.exe > WISE > adcoma.exe - 可能是 Win32/Agent 特洛伊木马 的变种
D:\TDDownload\ad.rar > RAR > ad.exe > WISE > HtmlPeek.dll - 可能是 Win32/Adware.Agent 应用程序 的变种
回复

举报

悠柚
发表于 2009-9-27 13:11:58 | 显示全部楼层

Multi Command-Line Scanner 报告
-------------------------------------------------------------------------
D:\TDDownload\ad\ad.exe
MD5 Hash: 7800AFC628B66366CE3EF8B0C51775EB

A-squared -----Nothing
AntiVir V7 -----Nothing
BitDefender ----- Trojan.Generic.1361117
ClamWin -----Nothing
Dr.Web V5 ----- modification of BackDoor.Generic.349
F-Prot -----Nothing
Mcafee -----Nothing
Panda -----Nothing
Sophos ----- Mal/Emogen-F
VBA32 -----Nothing

*** 3/10 杀毒引擎在文件中发现病毒 ***
-------------------------------------------------------------------------

任务完成 @ 2009-09-27 星期日 13:12:14.62
注意: 结果可能与GUI版本不同。
回复

举报

benq80282
发表于 2009-9-27 13:16:29 | 显示全部楼层
小紅傘未偵測到!
回复

举报

失落的手链
发表于 2009-9-27 14:57:40 | 显示全部楼层
瑞星2010

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

will
发表于 2009-9-27 15:59:32 | 显示全部楼层

----------------
可疑程序分析报告

样本名称:ad.exe
分析结果:Spyware
威胁等级:中
分析时间:2009-09-27 15:05:28.50
----------------

创建文件     %Temp%\GLC4.tmp
载入模块     %Temp%\glc4.tmp

创建文件     %Temp%\GLJ5.tmp

创建文件     %Temp%\GLK6.tmp
载入模块     %Temp%\glk6.tmp

创建文件     %Temp%\GLB7.tmp
删除文件     %Temp%\GLB7.tmp

创建文件     %Temp%\GLF8.tmp
创建文件     %Temp%\~GLH0000.TMP
删除文件     %Temp%\GLF8.tmp

创建文件     %Temp%\GLF8.tmp

创建文件     C:\WINDOWS\system32\GLBSINST.%$D
删除文件     C:\WINDOWS\system32\GLBSINST.%$D

创建进程     "c:\program files\internet explorer\iexplore.exe" -nohome
发送消息     c:\program files\internet explorer\iexplore.exe WM_DDE_EXECUTE http://www.v2233.com/?445

创建进程     "c:\program files\internet explorer\iexplore.exe" -nohome
发送消息     c:\program files\internet explorer\iexplore.exe WM_DDE_EXECUTE http://www.v2233.com/?445

创建文件     C:\WINDOWS\system32\~GLH0001.TMP
创建文件     C:\WINDOWS\system32\temp.000
删除文件     C:\WINDOWS\system32\~GLH0001.TMP

创建文件     C:\WINDOWS\system32\~GLH0002.TMP
创建文件     C:\WINDOWS\system32\adcoma.exe

创建文件     C:\WINDOWS\system32\~GLH0003.TMP
创建文件     C:\WINDOWS\system32\HtmlPeek.dll

修改注册表
    注册表项     HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
    注册表值     C:\WINDOWS\system32\adcoma.exe
    表值内容     adcoma

创建进程     c:\windows\system32\adcoma.exe

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    注册表值     systemie
    表值内容     C:\WINDOWS\system32\adcoma.exe

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
    注册表值     Start Page
    表值内容     http://www.v2233.com/?525

修改注册表
    注册表项     HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    注册表值     Start Page
    表值内容     http://www.v2233.com/?525

载入模块     %Temp%\glf8.tmp

创建进程     "c:\windows\system32\adcoma.exe" /REGSERVER

删除文件     %Temp%\GLK6.tmp
删除文件     %Temp%\GLJ5.tmp
删除文件     %Temp%\GLF8.tmp
删除文件     %Temp%\GLC4.tmp

----------------
可疑程序分析报告

样本名称:adcoma.exe
分析结果:Spyware
威胁等级:中
分析时间:2009-09-27 15:15:16.70
----------------

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{78ED9F60-086F-4C44-B802-4A619AC50481}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{78ED9F60-086F-4C44-B802-4A619AC50481}\4.0
    注册表值     (默认)
    表值内容     prjCom20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{78ED9F60-086F-4C44-B802-4A619AC50481}\4.0\FLAGS
    注册表值     (默认)
    表值内容     0

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{78ED9F60-086F-4C44-B802-4A619AC50481}\4.0\0\win32
    注册表值     (默认)
    表值内容     C:\WINDOWS\system32\adcoma.exe

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{78ED9F60-086F-4C44-B802-4A619AC50481}\4.0\HELPDIR
    注册表值     (默认)
    表值内容     C:\WINDOWS\system32

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}
    注册表值     (默认)
    表值内容     _ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\ProxyStubClsid
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\ProxyStubClsid32
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\TypeLib
    注册表值     (默认)
    表值内容     {78ED9F60-086F-4C44-B802-4A619AC50481}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\TypeLib
    注册表值     Version
    表值内容     4.0

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}
    注册表值     (默认)
    表值内容     _Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\ProxyStubClsid
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\ProxyStubClsid32
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\TypeLib
    注册表值     (默认)
    表值内容     {78ED9F60-086F-4C44-B802-4A619AC50481}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\TypeLib
    注册表值     Version
    表值内容     4.0

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}
    注册表值     (默认)
    表值内容     prjCom20090317.ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\ProgID
    注册表值     (默认)
    表值内容     prjCom20090317.ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\LocalServer32
    注册表值     (默认)
    表值内容     C:\WINDOWS\system32\adcoma.exe

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\TypeLib
    注册表值     (默认)
    表值内容     {78ED9F60-086F-4C44-B802-4A619AC50481}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}
    注册表值     VERSION
    表值内容     4.0

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.ClassFuckRS
    注册表值     (默认)
    表值内容     prjCom20090317.ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.ClassFuckRS\Clsid
    注册表值     (默认)
    表值内容     {DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}
    注册表值     (默认)
    表值内容     ClassFuckRS

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\ProxyStubClsid
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DF54554E-9C18-49DD-8D2C-442F0069139E}\ProxyStubClsid32
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\Implemented Categories
创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\Programmable
创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA784959-1C25-43AC-9FD6-FD4BADE0A2D8}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}
创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}
    注册表值     (默认)
    表值内容     prjCom20090317.Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\ProgID
    注册表值     (默认)
    表值内容     prjCom20090317.Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\LocalServer32
    注册表值     (默认)
    表值内容     C:\WINDOWS\system32\adcoma.exe

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\TypeLib
    注册表值     (默认)
    表值内容     {78ED9F60-086F-4C44-B802-4A619AC50481}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}
    注册表值     VERSION
    表值内容     4.0

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.Class20090317
    注册表值     (默认)
    表值内容     prjCom20090317.Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\prjCom20090317.Class20090317\Clsid
    注册表值     (默认)
    表值内容     {D116C31D-9F3A-471D-BF0A-748563A820D5}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}
    注册表值     (默认)
    表值内容     Class20090317

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\ProxyStubClsid
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

修改注册表
    注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9274D7C-EF93-4379-B45B-BA30AF69C253}\ProxyStubClsid32
    注册表值     (默认)
    表值内容     {00020424-0000-0000-C000-000000000046}

创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\Implemented Categories
创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\Programmable
创建注册表项     HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D116C31D-9F3A-471D-BF0A-748563A820D5}\Implemented Categories\{40FC6ED5-2438-11CF-A3DB-080036F12502}

创建文件     %Temp%\~DF3CB1.tmp
载入模块     c:\windows\system32\htmlpeek.dll
创建文件     C:\WINDOWS\system32\com\PopShow.dll

创建进程     "C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\PopShow.dll /s

创建文件夹     C:\WINDOWS\system32\Com\1.2.3
创建文件     C:\WINDOWS\system32\Com\1.2.3\WndHook.dll
创建文件     C:\WINDOWS\system32\Com\Config.cfg
创建文件     C:\WINDOWS\system32\romarshal.dat
创建文件     C:\WINDOWS\system32\mprmsgse.axz
创建文件     C:\WINDOWS\system32\romspring.dat

载入模块     c:\windows\system32\com\1.2.3\wndhook.dll

安装钩子     C:\windows\system32\com\1.2.3\wndhook.dll WH_CALLWNDPROC

创建文件     %Temp%\9.tmp
创建文件     %Temp%\A.tmp
创建文件     %Temp%\B.tmp
删除文件     %Temp%\9.tmp

创建文件夹     C:\WINDOWS\system32\Com\1.2.8
创建文件     C:\WINDOWS\system32\Com\1.2.8\WndHook.dll
修改文件     C:\WINDOWS\system32\Com\Config.cfg



[ 本帖最后由 will 于 2009-9-27 16:21 编辑 ]
回复

举报

成功注册
发表于 2009-9-27 17:08:18 | 显示全部楼层
点击运行 卡3秒 自己弹出[url=goto.php#http://www.v2233.com/?525]http://www.v2233.com/?525[/url] 还好是在沙盘里运行 kav可耻的miss了
回复

举报

驭龙
发表于 2009-9-27 19:22:51 | 显示全部楼层
MSE杀
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 08:01 , Processed in 0.075025 second(s), 6 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表