收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 很 囧 很囧的vbs病毒
12345678下一页
返回列表 发新帖
楼主: webweb
 收起左侧

[病毒样本] 很 囧 很囧的vbs病毒

[复制链接]
wptyh73hm
发表于 2009-10-3 16:21:15 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

tgzw1680
发表于 2009-10-3 16:34:43 | 显示全部楼层
有幸看到第一个写数据流的活的病毒,呵呵。没有专门去找,今天碰到了,收藏。。。。
回复

举报

Beloved
发表于 2009-10-3 17:42:51 | 显示全部楼层


-_-!,解压后,显示全部隐藏文件也没看到,,用WinRAR 看到的

动作都比较高危,开始就往 windows\system32 写。么有看到 RD 方面的动作,FD 方面创建的较多

太长,省略部分



WScript.exe
[EXECUTE]                               2009.10.03 17:37:29
[ALLOW]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[FROM]                                  C:\Program Files\WinRAR\WinRAR.exe
                                        Command Line:"C:\Program Files\WinRAR\WinRAR.exe"


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:39
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:41
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:43
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:44
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:47
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:48
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:50
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:51
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:52
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:53
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:54
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:55
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control


WScript.exe
[OLE/DDE CONTROL]                       2009.10.03 17:37:59
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             C:\WINDOWS\System32\svchost.exe
                                        Control Type: OLE Control



WScript.exe
[CREATE FILE]                           2009.10.03 17:38:31
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: D:\
                                        File: 1455278548.vbs


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:32
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: D:\
                                        File: Program Files.lnk


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:36
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: D:\
                                        File: RECYCLER.lnk


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:37
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: D:\
                                        File: System Volume Information.lnk


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:38
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: D:\
                                        File: vod_cache_data.lnk


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:40
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: E:\
                                        File: 334488455.vbs


WScript.exe
[CREATE FILE]                           2009.10.03 17:38:40
[BLOCK]                                 C:\WINDOWS\System32\WScript.exe
                                        Command Line:"C:\WINDOWS\System32\WScript.exe" "F:\Once\Virus\1918142119\1918142119.vbs"
[ACCESS TO]                             Folder: E:\
                                        File: AutoRun.inf
回复

举报

sam.to
发表于 2009-10-3 17:49:08 | 显示全部楼层
to kl,ll,eset,comodo,antivir


https://www.virustotal.com/anali ... 559b79bd-1254563296

http://virscan.org/report/b0145bc00ada18bf953c4b0f3705cf4d.html

The file '1918142119.vbs2' has been determined to be 'UNDER ANALYSIS'.

http://sample.nod32.com.hk/index ... 732425540cc4a6f6cc5

[ 本帖最后由 sam.to 于 2009-10-3 17:50 编辑 ]
回复

举报

winxp0286
发表于 2009-10-3 18:00:20 | 显示全部楼层
解压后。什么也没有看见。。

HIPS没报。

红伞无响应。

avast! 没反应。。。不知道是不是空的。
回复

举报

winxp0286
发表于 2009-10-3 18:00:48 | 显示全部楼层
有啥动作?啥行为啊?
回复

举报

Beloved
发表于 2009-10-3 18:03:27 | 显示全部楼层
原帖由 winxp0286 于 2009-10-3 18:00 发表
解压后。什么也没有看见。。

HIPS没报。

红伞无响应。

avast! 没反应。。。不知道是不是空的。


用 WinRAR 就看到有样本了、、、、、
回复

举报

行云流水001
发表于 2009-10-3 18:56:06 | 显示全部楼层
avast秒个鸟啊,我直接查杀avast都不报啊,我的小a今天怎么啥也不报啊...........
回复

举报

winxp0286
发表于 2009-10-3 19:55:29 | 显示全部楼层
好像在我的计算机上没有任何动作。。我运行了。。结果并没有像楼主所说的哪种症状。。奇怪。。没有隐藏盘符。没有生存autorun.inf.难道是被免疚了?
回复

举报

DoctorL
头像被屏蔽
发表于 2009-10-3 20:00:31 | 显示全部楼层

回复 16楼 wliao 的帖子

MP配SB
回复

举报

下一页 »
12345678下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-18 13:07 , Processed in 0.100853 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表