警惕零度软件园的病毒

穿越星空

　　今日在零度软件园下载电子书，不想却下载成病毒，样本在附件中，本身就是一个自解压文件。
　　以后大家去零度软件园下载要小心。

穿越星空

仅保留报毒结果，详细请看http://www.virustotal.com/zh-cn/ ... 70bb62f9-1258352642

反病毒引擎	版本	最后更新	扫描结果
Authentium	5.2.0.5	2009.11.15	W32/Trojan2.JSKA
ClamAV	0.94.1	2009.11.15	Trojan.Hupigon-22756
eSafe	7.0.17.0	2009.11.15	Win32.Hupigon
F-Prot	4.5.1.85	2009.11.15	W32/Trojan2.JSKA
McAfee+Artemis	5803	2009.11.15	Artemis!63ABABB6AED7
Panda	0.0.2.2	2009.11.15	Suspicious file
PCTools	7.0.3.5	2009.11.16	Trojan.Adclicker
Sophos	4.47.0	2009.11.16	Mal/Generic-A
Symantec	1.4.4.12	2009.11.16	Trojan.Adclicker
VirusBuster	4.6.5.0	2009.11.15	TrojanSpy.Agent.NVZX

[ 本帖最后由 穿越星空 于 2009-11-16 15:16 编辑 ]

穿越星空

仅保留报毒结果，详细请看http://virscan.org/report/770174b0a2055104efa758c70e8e918c.html。

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果
Authentium	5.1.1	200911151400	2009-11-15	W32/Trojan2.JSKA (Exact)
CP Secure	1.3.0.5	2009.11.16	2009-11-16	Troj.W32.Obfuscated.gen
F-Prot	4.4.4.56	20091115	2009-11-15	W32/Trojan2.JSKA (exact, not disinfectable)
Sophos	3.00.1	4.46	2009-11-16	Mal/Generic-A
VirusBuster	4.5.11.10	10.113.18/2016891	2009-11-15	TrojanSpy.Agent.NVZX
赛门铁克	1.3.0.24	20091115.002	2009-11-15	Trojan.Adclicker

[ 本帖最后由 穿越星空 于 2009-11-16 15:21 编辑 ]

穿越星空

概述病毒运行后的结果，详细请见http://camas.comodo.com/cgi-bin/submit?file=c250f3070b46798d1302d81af624331586806048660311fadff9b54c70bb62f9。
涉及到的注册表项：
HKCU\Software\Microsoft\Windows Script Host
HKCU\Software\Microsoft\Windows Script Host\Settings
HKLM\Software\Classes\ClsId\{86AEFBE8-763F-0647-899C-A93278894D8E}
HKLM\Software\Classes\ClsId\{AC414988-E5BB-4C2C-873B-EA53D2F3D23A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894D8E}
涉及到的文件和目录“
C:\Documents and Settings\User\Start Menu\Programs\
C:\Program Files\systemfiles（关键）
C:\Program Files\（关键）
C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Exp1orer.url
C:\Documents and Settings\User\Desktop\
C:\Documents and Settings\User\Favorites\
C:\Documents and Settings\User\Start Menu\Programs\
注：会在以上红色程序目录中创建大量文件。
创建的进程
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\systemfiles\9ptvs1.exe
C:\WINDOWS\System32\WScript.exe

[ 本帖最后由 穿越星空 于 2009-11-16 15:51 编辑 ]

穿越星空

概述病毒运行后的结果，详细请见http://anubis.iseclab.org/?action=result&task_id=112e9c01515b27324f51ed8c1a7395a25&format=html。
注册表修改：
HKLM\​Software\​Classes\​CLSID
HKLM\​Software\​Microsoft\​COM3 
文件修改同上楼
设备相关：
\Device\KsecDD
内存映射文件：
C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\COMCTL32.DLL
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\system32\CLBCATQ.DLL
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\RICHED20.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\UxTheme.dll
C:\WINDOWS\system32\browseui.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\riched32.dll
C:\WINDOWS\system32\rpcss.dll

[ 本帖最后由 穿越星空 于 2009-11-16 15:54 编辑 ]

幸福的猪猪

样本上报卡巴斯基。

linjw

Filename        Result
05sun_book.exe         UNDER ANALYSIS


The file '05sun_book.exe' has been determined to be 'UNDER ANALYSIS'.

adad2008

一种流氓广告的行为

BING126

to McAfee

linjw

Filename        Result
05sun_book.exe         MALWARE

The file '05sun_book.exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/Click.Agent.R. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.01.06.240.