囧~猥琐+蔓延的免杀新病毒~囧囧囧

囧神

囧~和其他病毒不一样，这个病毒会明显的非常卡。。。囧囧~不停的改动自己的系统服务，明显的拖慢系统+不断的创建进程~囧囧，配置不高的勿测，免的卡死~囧

囧~经过实地测试毒霸极速版能检测到病毒，不过也只是报其中一个arphrop6.tbl文件而已，对于病毒本体并不过问，衍生物也没有报~。。。免杀贝壳。囧

在线扫描：54%的杀软(20/37)报告发现病毒~（囧，虽然看似检出率还不错，不过大蜘蛛，冰岛，卡巴，瑞星，江民等貌似都没检出~）

VirSCAN.org Scanned Report :
Scanned time   : 2009/10/05 19:44:56 (CST)
Scanner results: 54%的杀软(20/37)报告发现病毒
File Name      : WinHelpjflhh.rar
File Size      : 33510 byte
File Type      : RAR archive data, v1d, os
MD5            : 8519235ab22edc2a174e28aa32228ae1
SHA1           : 0b662fb959c3e6a59655a02c37ea904a605f64e1
Online report  : http://virscan.org/report/e27fc7b8d4b07d35e320912593f76cbf.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20091005163530    2009-10-05  4.42   Riskware.Win32.DelfInject!IK
安博士V3       2009.10.05.04   2009.10.05        2009-10-05  2.41   Win-Trojan/Agent.34528.C
AntiVir        8.2.1.33        7.1.6.73          2009-10-05  1.15   SPR/Tool.Binder.B
安天           2.0.18          20091005.2966709  2009-10-05  0.28   -
Arcavir        2009            200910050915      2009-10-05  0.05   -
Authentium     5.1.1           200910041409      2009-10-04  2.33   W32/Heuristic-210!Eldorado (Heuristic)
AVAST!         4.7.4           091004-0          2009-10-04  0.01   Win32:Delf-GIY [Drp]
AVG            8.5.288         270.14.3/2415     2009-10-05  0.34   Klone
BitDefender    7.81008.4314862 7.28095           2009-10-05  3.72   Trojan.Delf.Inject.S
CA (VET)       9.0.0.143       31.6.6774         2009-10-05  16.72  -
ClamAV         0.95.2          9866              2009-10-03  0.02   -
Comodo         3.11            2517              2009-10-05  1.35   -
CP Secure      1.3.0.5         2009.10.05        2009-10-05  0.06   -
Dr.Web         4.44.0.9170     2009.10.05        2009-10-05  5.79   -
F-Prot         4.4.4.56        20091004          2009-10-04  2.29   Possible W32/Heuristic-210!Eldorado (not disinfectable)
F-Secure       7.02.73807      2009.10.05.08     2009-10-05  0.33   -
飞塔           2.81-3.120      10.907            2009-10-04  0.26   PossibleThreat
GData          19.8228/19.499  20091005          2009-10-05  5.98   Win32:Delf-GIY [Drp] [Engine:B]
ViRobot        20091005        2009.10.05        2009-10-05  0.90   -
Ikarus         T3.1.01.72      2009.10.05.73939  2009-10-05  4.07   VirTool.Win32.DelfInject
江民杀毒       11.0.800        2009.10.05        2009-10-05  6.96   -
卡巴斯基       5.5.10          2009.10.05        2009-10-05  0.12   -
金山毒霸       2009.2.5.15     2009.10.5.7       2009-10-05  0.67   JS.Downloader.dv.372
迈克菲         5.3.00          5761              2009-10-04  3.35   Generic.dx!fkt
Microsoft      1.5101          2009.10.05        2009-10-05  6.67   VirTool:Win32/DelfInject.gen!W
Norman         6.01.09         6.01.00           2009-09-16  0.20   -
熊猫卫士       9.05.01         2009.10.04        2009-10-04  2.31   Generic Trojan      
趋势科技       8.700-1004      6.506.02          2009-10-05  0.05   -
Quick Heal     10.00           2009.10.05        2009-10-05  1.27   Trojan.Delfinject.w
瑞星           20.0            21.49.22.00       2009-09-30  1.52   -
Sophos         2.90.1          4.45              2009-10-05  3.56   Mal/EncPk-EY
Sunbelt        5429            5429              2009-10-04  2.71   -
赛门铁克       1.3.0.24        20091004.002      2009-10-04  0.81   Suspicious.MH690
nProtect       20091005.01     5733682           2009-10-05  8.23   Generic.Botget.7A6C6B4F
The Hacker     6.5.0.2         v00029            2009-10-04  1.05   -
VBA32          3.12.10.11      20091004.1919     2009-10-04  2.26   Embedded.Trojan.Win32.Scar.rfw (suspicious)
VirusBuster    4.5.11.10       10.112.58/1940842 2009-10-04  3.29   -



病毒行为：

创建文件：C:\WINDOWS\system32\WinHelpjflhh.exe

启动服务：SCManager
安装服务：WinHelpjflhh
打开服务：WinHelpjflhh
启动服务：WinHelpjflhh
（囧~服务这几个步骤会无限重复，以防用户修复~囧囧）

创建注册表：HKLM\System\CurrentControlSet\Services\WinHelpjflhh\\Description

COM对象：无

DLL：加载程序启动必要系统DLL。
同时加载了以下其他非DLL文件~
DLL名称：Windows Command Pcocessor 实际路径：C:\WINDOWS\system32\cmd.exe
DLL名称：WinHelpjflhh   实际路径：C:\WINDOWS\system32\WinHelpjflhh.exe
DLL名称：WinHelpjflhh   实际路径：C:\WinHelpjflhh\WinHelpjflhh.exe
DLL名称Generic Host Process for Win32 Services   实际路径：C:\WINDOWS\system32\svchost.exe
（囧~利用svchost.exe来联网的同时保护进程，svchost.exe会不断生成两个WinHelpjflhh.exe进程，不解决掉svchost.exe是无法干掉两个病毒进程的~囧囧）

创建进程：
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WinHelpjflhh.exe
C:\WinHelpjflhh\WinHelpjflhh.exe

网络访问：
出站TCP访问
端口：1174
远程IP：121.11.85.151

囧~我讨厌这个病毒，因为很卡，囧~

（样本包中含有很多EXE文件，其中WinHelpjflhh.exe才是本体，才可以运行，别的EXE无法运行，所以别运行错了，说样本损坏~囧囧）

江湖的fans

还要看瑞星2010的


Trojan.Win32.Generic.11EDB8C8


KILL

hddu

2009-10-05 20:53:38    修改其它进程内存      操作:阻止并结束进程
进程路径:E:\WinHelpjflhh\WinHelpjflhh.exe
目标进程:E:\WinHelpjflhh\WinHelpjflhh.exe
触发规则:所有程序规则->修改其它进程内存->$parent$\*

2009-10-05 20:54:08    修改其它进程内存      操作:阻止并结束进程
进程路径:E:\WinHelpjflhh\WinHelpjflhh.exe
目标进程:E:\WinHelpjflhh\WinHelpjflhh.exe
触发规则:所有程序规则->修改其它进程内存->$parent$\*

尤金卡巴斯基

很多0字节。。

To KL

hddu

sangle

kis2010  直接 kill掉，哦呵呵
小弟我终于把正版诺 顿给去了，换上卡巴，还是卡巴强悍呀，顺便 发下牢骚，诺 顿真垃圾，就是美工做得好而已

Soma Cruz

扫描开始于2009年10月5日 21:08:48
D:\TDDownload\WinHelpjflhh.rar,查到病毒： PossibleThreat, 操作： 删除/隔离
扫描结束于2009年10月5日 21:08:48
总共扫描了1个文件, 其中感染病毒文件为1个。 总共扫描了0个引导区, 感染的引导区为0个。

kis2010有报...怎么KAV 2010没报??

失落的手链

瑞星2010
Trojan.Win32.Generic.11EDB8C8

qianwenxiang

压缩包里面除了winhelpflhh.exe外其他的exe都是0字节的……

tbl那个应该是ftp的东西 不过ftp帐号密码全是错的。。