三个NOD32深入扫描启发报

显示全部楼层 · 发表于 2007-3-2 13:11:51

同学机器上的。。。
报probably unknown NewHeur_PE virus。。。
卡巴斯基过得哗哗的。。。

给一张s.exe的virustotal图。。
这就是用了雅虎助手后中毒的案例。。

显示全部楼层 · 发表于 2007-3-2 13:19:22

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\�½��ļ��.rar'
C:\Documents and Settings\Administrator\My Documents\
  �½��ļ��.rar
[0] Archive type: RAR
--> ÐÂ½¨ÎÄ¼þ¼Ð\s.exe
      [DETECTION] Contains suspicious code HEUR/Crypted
      [WARNING] Infected files in archives cannot be repaired!
--> ÐÂ½¨ÎÄ¼þ¼Ð\EvIDPatch.exe
      [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Virkel.A.8 Backdoor server programs
      [WARNING] Infected files in archives cannot be repaired!
--> ÐÂ½¨ÎÄ¼þ¼Ð\INFO.exe
      [DETECTION] Contains suspicious code HEUR/Crypted
      [WARNING] Infected files in archives cannot be repaired!
      [WARNING] The file was ignored!

显示全部楼层 · 发表于 2007-3-2 14:04:00

金山报了两个风险程序

显示全部楼层 · 发表于 2007-3-2 14:30:09

瑞星一个都没报

上报中

显示全部楼层 · 发表于 2007-3-2 14:51:53

那個evid是修改winxp sp2 tcpip.sys連接數的工具.

info.exe和s.exe是一個文件,貌似是有問題

该病毒使用VB编写，通过加载服务启动。病毒体隐藏在回收站之中。
具体分析报告
生成文件：
C:\WINDOWS\uda.exe 14336
C:\WINDOWS\system32\odbcasvc.exe 93612
C:\Documents and Settings\Nick\Local Settings\Temp\s.exe 93612
X:\autorun.inf
X:\RECYCLER\info.exe

添加服務：odbcasvc [Microsoft Data Access - ODBC Administration Service] - C:\WINDOWS\SYSTEM32\odbcasvc.EXE

這個uda.exe應該是個人做的壓縮程序，本身無毒，只是被利用了

[ 本帖最后由 allenhippo 于 2007-3-2 17:44 编辑 ]

显示全部楼层 · 发表于 2007-3-2 15:13:20

楼上分析准确，该同学电脑里果然有这个服务。。。

其他文件已经打包，文件名与楼上测试略有不同，红伞不报（不过病毒体是不是已经死了就不得而知了）
卡巴的粉丝不要愣着了，抓紧时间上报~~（我的邮箱坏了。。

）

显示全部楼层 · 发表于 2007-3-2 15:28:12

你那個odbcad32是正常程序

显示全部楼层 · 发表于 2007-3-2 15:33:21

两个都是正常程序
你们就慢慢分析吧

显示全部楼层 · 发表于 2007-3-2 15:48:58

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\新建文件夹.rar'
C:\Documents and Settings\Administrator\桌面\新建文件夹.rar
  [0] Archive type: RAR
  --> D??¨???t?D\s.exe
   [DETECTION] Contains suspicious code HEUR/Crypted
  --> D??¨???t?D\EvIDPatch.exe
   [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Virkel.A.8 Backdoor server programs
  --> D??¨???t?D\INFO.exe
   [DETECTION] Contains suspicious code HEUR/Crypted
   [INFO]    The file was moved to 'ab6f358d.qua'!

显示全部楼层 · 发表于 2007-3-2 15:58:10

Virus check with AntiVirusKit
Version 17.0.6282
Virus signatures of 3/2/2007
Start time: 3/2/2007 15:56
Engine(s): Engine A (AVK 17.3050), Engine B (BD 17.2113)
Heuristic: On
Archives: On
System areas: On
Check system areas...
Check selected directories and files...
Object: 新建文件夹\EvIDPatch.exe
In archive: C:\Documents and Settings\Administrator\桌面\新建文件夹.rar
Status: Virus detected
Virus: Application.Evid.M (Engine B)
Object: 新建文件夹.rar
Path: C:\Documents and Settings\Administrator\桌面
Status: Move file into quarantine
Virus: Application.Evid.M (Engine B)
Analysis complete: 3/2/2007 15:56
1 files checked
1 infected files detected
0 suspected files detected

[病毒样本] 三个NOD32深入扫描启发报

本帖子中包含更多资源

本帖子中包含更多资源

回复 #5 allenhippo 的帖子

本帖子中包含更多资源

本帖子中包含更多资源