请来帮我看看这是个什么东西

无聊至极

RT,这是我的一个群里有人发的,说是照片,但是我看是一个EXE后缀的应用程序,所以我把那人帖子暂时删了,

这东西加壳了,我不会去壳,那位来帮我看看,这是个什么东西,所以请大家帮我看看.

感激不尽,

saga3721

'TR/Dropper.Gen [trojan]'

星空下的吻

等待高手详细测试......

hddu

2009-10-11 15:12:52    创建文件      操作:允许
进程路径:E:\新建文件夹 (2)[1]\新建文件夹 (2)\123\相片.EXE
文件路径:E:\相片.exe
触发规则:应用程序规则->其它文件设置->E:\*.exe->E:\*.exe

2009-10-11 15:12:54    运行应用程序      操作:阻止
进程路径:E:\新建文件夹 (2)[1]\新建文件夹 (2)\123\相片.EXE
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen E:\1758538.jpg
触发规则:所有程序规则->系统程序设置->%windir%\system32\rundll32.exe

2009-10-11 15:13:01    创建文件      操作:阻止
进程路径:E:\相片.EXE
文件路径:C:\WINDOWS\system32\Aroisrcoc.exe
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.exe

2009-10-11 15:13:03    创建文件      操作:阻止
进程路径:E:\相片.EXE
文件路径:C:\dusvvbhj.bat
触发规则:所有程序规则->全局设置->%SystemDrive%\*

无聊至极

原帖由 saga3721 于 2009-10-11 14:44 发表
'TR/Dropper.Gen '

是这个吗?


病毒名称：AntiVir ： TR/Dropper.Gen
                    AVG ：Clicker.OWA
                    Kaspersky  ：－
                    NOD32v2：  a variant of Win32/TrojanClicker.Agent.NDJ
                    Rising  ：-
VT查杀率：25/35 (71.43%)
VT扫描时间：2008.08.10 07:47:09 (CET)

EQS  Lab编号：080810021
病毒大小：26.5 KB (27,224 字节)
MD5码： A29CEAE00FFD2B2C51BBA6C362C4F63F
病毒类型： 木马程序
主要传播方式： 网络
测试平台： WinXP SP3系统 (默认Shell为BBlean)      EQSecurity（HIPS） 实机
危害程度：高


病毒行为：

运行后会在windows目录生成MayaGirl目录
引用:

2008-08-10 13:49:04    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowsMayaGirl
触发规则:所有程序规则->Block Rule->C:WINDOWS*

创建病毒文件
引用:

2008-08-10 13:49:04    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowsMayaGirlMayaGirlDll.dat
触发规则:所有程序规则->Block Rule->C:WINDOWS*

2008-08-10 13:49:04    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowsMayaGirlMayaGirlSYS.dat
触发规则:所有程序规则->Block Rule->C:WINDOWS*

停止beep服务
引用:

2008-08-10 13:49:18    运行应用程序      
进程路径:F:Oncelolo.exe
文件路径:C:windowssystem32NET.exe
命令行:STOP Beep
触发规则:所有程序规则->System Tool->%windir%system32net.exe

修改beep.sys
引用:

2008-08-10 13:50:46    修改文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowssystem32Driversbeep.sys
触发规则:应用程序规则->Important File->*->%windir%system32DriversBeep.sys

重新启用beep服务
引用:

2008-08-10 13:50:54    运行应用程序      
进程路径:F:Oncelolo.exe
文件路径:C:windowssystem32NET.exe
命令行:START Beep
触发规则:所有程序规则->System Tool->%windir%system32net.exe

创建病毒文件
引用:

2008-08-10 13:51:03    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowsMayaGirlgaga.bat
触发规则:所有程序规则->File Rule->?:*.bat

删除病毒文件
引用:

2008-08-10 13:53:40    删除文件      
进程路径:F:Oncelolo.exe
文件路径:C:WINDOWSMayaGirlgaga.bat
触发规则:所有程序规则->File Rule->?:*.bat

创建病毒文件         hash与gaga.bat一致
引用:

2008-08-10 13:51:54    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowsMayaGirlMayaGirlMain.exe
触发规则:所有程序规则->File Rule->?:*.exe

SCM   安装服务
引用:

2008-08-10 13:53:47    访问服务管理器      
进程路径:F:Oncelolo.exe
触发规则:所有程序规则->*

2008-08-10 13:53:51    安装服务或者驱动      
进程路径:C:windowssystem32services.exe
文件路径:C:windowsMayaGirlMayaGirlMain.exe
触发规则:所有程序规则->Block APP Run->%windir%*

2008-08-10 13:53:51    创建注册表值      
进程路径:C:windowssystem32services.exe
注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetwork Services
注册表名称:ImagePath
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINESYSTEM*controlset*Services*

创建bat
引用:

2008-08-10 13:54:01    创建文件      
进程路径:F:Oncelolo.exe
文件路径:C:windowssystem32me.bat
触发规则:所有程序规则->File Rule->?:*.bat

bat 内容
引用:

@ech0 off
attrib -h -s -r -a %0
sleep 2000
del "F:Oncelolo.exe"
del %0

关键行为：

向windows目录创建文件

修改beep.sys

安装服务

尤金卡巴斯基

To KL

无聊至极

原帖由 尤金卡巴斯基 于 2009-10-11 16:04 发表
To KL

what's means with to kl?

Dirk

KL= Kaspersky Lab
to means submitted to
还有
应该是what does to KL mean... ...

尤金卡巴斯基

##.exe_ - Trojan-Spy.Win32.FlyStudio.dwk

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

无聊至极

that's ok!

please tell me that 5f right or wrong?