下载者扫描结果 : 3%的杀软(1/37)报告发现病毒

asusandy111

nis2010 很诡异，解压扫描不杀，一运行就报suspicious.MH690.A
释放的update.exe和dll.exe被干掉，释放的284734.exe被智能防火墙自动拦截（无需人工干预）
约10秒后284734.exe进程消失，nis报自动防护已解决所有威胁，查看历史记录，284734.exe被识别为securityrisk.downldr,系统无残留，无需重启。

62590423

程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\UPDATE.EXE
木马程序生成以下文件：
1) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\CLCER1HB\DLL[1].EXE
2) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\DLL.EXE
3) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\USP10.DLL
4) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\DRIVE\C\WINDOWS\HELP\SKYPELIB.DLL
5) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\OJMLBBBF\PLAYER011[1].EXE
6) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\PLAYER011.EXE
7) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\89QZ0DAN\045[1].EXE
8) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\045.EXE
9) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0P67O1UR\284734[1].EXE
10) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\284734.EXE
11) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0P67O1UR\123[1].EXE
12) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\CLCER1HB\2847[1].EXE
13) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\2847.EXE
14) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\89QZ0DAN\SETUP[1].EXE
15) C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\桌面\SETUP.EXE
删除木马程序及其衍生物!
处理结果：成功清除!

as4524

Hello,

Update.exe_ - Trojan-Downloader.Win32.Agent.csdf

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.
>
>
>
--
Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

mixianfa

原帖由 asusandy111 于 2009-10-16 15:39 发表
nis2010 很诡异，解压扫描不杀，一运行就报suspicious.MH690.A
释放的update.exe和dll.exe被干掉，释放的284734.exe被智能防火墙自动拦截（无需人工干预）
约10秒后284734.exe进程消失，nis报自动防护已解决所有威 ...

这么强啊！我没有安装虚拟机，不敢实机运行
赞一个

zhb0128

NOD32轻松干掉

zhb0128

反病毒专家 AntiVirusKit 2006 扫描病毒日志记录
版本 16.0.7
双引擎反病毒签名 2009-10-15
开始时间: 2009-10-17 0:49
引擎: KAV 引擎 (AVK 19.8104), BD 引擎 (BD 18.1468)
高启发式: 打开
压缩文件: 打开
系统区域: 关闭

扫描所选择的目录和文件...
对象: Update.exe
        路径: C:\Documents and Settings\Administrator\桌面\样本
        Status: 文件移入隔离区
        病毒: Trojan-Downloader.Win32.Agent.csdf (KAV 引擎)
扫描完成: 2009-10-17 0:49
    已检查 1 个文件
    已发现 1 个染毒文件
    发现 0 个可疑文件