二个可疑病毒样，好像过了卡巴和nod32，用wsyscheck查出来的，但有些疑问，望解答

flyfox7755

eohpq.qmf
md5：595673fac780251f8083e688c7c381cd
该样本有点奇怪，我怀疑是通过局域网，利用windows的漏洞传播的(不知道是不是ms08067)，每次都由svchost.exe写入一个名为at1.job的计划任务到我的%WinDir%\tasks下，我用风云防火墙阻止了，该job调用为“rundll32.exe eohpq.qmf,nxagfbxr”，上网查了下，没有这样的资料，也许是随机命名吧。但我到目前为止，还真不清楚这个东西是如何传播的，用wsyscheck和sreng查过了，但似乎没有见它有启动项，怪，我水平不足，没法分析，有能力分析出来的告诉一声，谢了。

linkinfo.dll  
md5：b7d6762d533639885d41cd68e7e9efc3
好像用卡巴和nod32都查不出来，我是用wsyscheck查出来的，注入到了explorer.exe进程，而且会映像劫持，有兴趣的看下吧。

[ 本帖最后由 flyfox7755 于 2009-11-23 13:08 编辑 ]

fengtaks

嗯？帖子内容还不完整？等待样本~

flyfox7755

刚才不小心按了ctrl+enter键，所以没写完就发出去了，现在重新编辑好了，不好意思。

adad2008

kv报木马worm

[ 本帖最后由 adad2008 于 2009-11-23 13:17 编辑 ]

失落的手链

瑞星2010
Trojan.Win32.Generic.11E92CCC

中国崛起

费尔报一个病毒一个木马

fengtaks

ESET
eohpq.qmf - Win32/Conficker.AI 蠕虫 - 是已删除对象的一部分
linkinfo.dll - Win32/KillAV.NEZ 特洛伊木马 的变种 - 是已删除对象的一部分
分析中…

zhanyuchenbobo

月神干掉一个

find09

kis2009 报了一个，隔离了一个。。。不晓得楼主用的哪个版本的卡巴

sharkking

E:\Documents and Settings\桌面\virus.rar > RAR > eohpq.qmf - Win32/Conficker.AI 蠕虫
E:\Documents and Settings\桌面\virus.rar > RAR > linkinfo.dll - Win32/KillAV.NEZ 特洛伊木马 的变种
我的ESS4报了，不知楼主的NOD是什么版本的？