一个TV播放器调用ie自动弹出的exe文件

显示全部楼层 · 发表于 2009-11-28 16:29:20

一个TV播放器调用ie自动弹出的exe文件

红伞扫描后报毒~~~估计是木马

我不知道怎么测试~~~

请专家们看看是什么马？有些什么特征？

最好能找到对方的ip什么的~~~谢谢！

显示全部楼层 · 发表于 2009-11-28 16:30:40

MPAV 2KILL

显示全部楼层 · 发表于 2009-11-28 17:12:37

2009/11/28 17:11:48 已删除木马程序 Trojan-Downloader.Win32.VB.sxe G:\Temp\Virus\白领女职员做爱实拍.rar/白领女职员做爱实拍.exe/c.exe
2009/11/28 17:11:48 已删除木马程序 Trojan-Downloader.Win32.VB.sxe G:\Temp\Virus\白领女职员做爱实拍.rar/白领女职员做爱实拍.exe/c.exe/360rp.exe
2009/11/28 17:11:48 已删除木马程序 Trojan-Downloader.Win32.VB.tbo G:\Temp\Virus\白领女职员做爱实拍.rar/白领女职员做爱实拍.exe/Source.exe
2009/11/28 17:11:48 已删除木马程序 Trojan-Downloader.Win32.VB.tbo G:\Temp\Virus\白领女职员做爱实拍.rar/白领女职员做爱实拍.exe/Source.exe/360R.exe
2009/11/28 17:11:48 已删除木马程序 Trojan-Downloader.Win32.VB.tbo G:\Temp\Virus\白领女职员做爱实拍.rar/白领女职员做爱实拍.exe/Source.exe/360R.exe//Molebox

显示全部楼层 · 发表于 2009-11-28 17:34:08

File 4ed3c22cf7a505889512051d6da79800eabc43a6.EXE received on 2009.11.28 02:37:55 (UTC)
Current status: finished
Result: 23/41 (56.10%)

Print results Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.11.27 -
AhnLab-V3 5.0.0.2 2009.11.27 -
AntiVir 7.9.1.79 2009.11.27 DR/Pacex.AB
Antiy-AVL 2.0.3.7 2009.11.27 Trojan/Win32.VB.gen
Authentium 5.2.0.5 2009.11.27 -
Avast 4.8.1351.0 2009.11.27 Win32:Malware-gen
AVG 8.5.0.426 2009.11.27 Downloader.Generic9.UOQ
BitDefender 7.2 2009.11.27 -
CAT-QuickHeal 10.00 2009.11.27 -
ClamAV 0.94.1 2009.11.27 Trojan.Magania-11739
Comodo 3062 2009.11.28 Heur.Packed.Unknown
DrWeb 5.0.0.12182 2009.11.28 Trojan.DownLoad1.12123
eSafe 7.0.17.0 2009.11.26 SuspiciousR-Mytob3
eTrust-Vet 35.1.7146 2009.11.27 -
F-Prot 4.5.1.85 2009.11.27 -
F-Secure 9.0.15370.0 2009.11.24 -
Fortinet 4.0.14.0 2009.11.27 -
GData 19 2009.11.28 Win32:Malware-gen
Ikarus T3.1.1.74.0 2009.11.27 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.11.27 TrojanDownloader.VB.sdt
K7AntiVirus 7.10.906 2009.11.27 Trojan.Win32.Msgbox
Kaspersky 7.0.0.125 2009.11.28 Trojan-Downloader.Win32.VB.sxe
McAfee 5815 2009.11.27 -
McAfee+Artemis 5815 2009.11.27 Artemis!E00EB2FAA09C
McAfee-GW-Edition 6.8.5 2009.11.27 Trojan.Dropper.Gen
Microsoft 1.5302 2009.11.27 -
NOD32 4643 2009.11.27 a variant of Win32/StartPage.NNA
Norman 6.03.02 2009.11.27 -
nProtect 2009.1.8.0 2009.11.27 -
Panda 10.0.2.2 2009.11.27 Suspicious file
PCTools 7.0.3.5 2009.11.28 Packed/MoleBox
Prevx 3.0 2009.11.28 -
Rising 22.23.05.01 2009.11.28 Trojan.Win32.StartPage.nle
Sophos 4.48.0 2009.11.27 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.11.27 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.11.28 Suspicious.MH690.A
TheHacker 6.5.0.2.080 2009.11.27 -
TrendMicro 9.100.0.1001 2009.11.27 -
VBA32 3.12.12.0 2009.11.28 -
ViRobot 2009.11.27.2058 2009.11.27 -
VirusBuster 5.0.21.0 2009.11.27 Trojan.VBAutorun.Gen
Additional information
File size: 366071 bytes
MD5 : 1234633c8775f96d039ee712190a5f93
SHA1 : 5d6bc4e1f257ed99da7ce11711e774e5209553bb
SHA256: fb31216e61431bbaabafac26801e322fce953a17c27290ad9c475bc9b4b2459e
PEInfo: PE Structure information

显示全部楼层 · 发表于 2009-11-28 17:36:18

斑竹的结论看来是正确滴~~~3Q！
也感谢二楼的兄弟帮忙测试！

显示全部楼层 · 发表于 2009-11-28 18:31:16

瑞星2010

显示全部楼层 · 发表于 2009-11-28 19:00:57

kis2010：
日期：今天 (事件： 63)
应用程序控制 (事件： 63)
18:04:37 已允许:  白领女职员做爱实拍.EXE 读取 E:\白领女职员做爱实拍\白领女职员做爱实拍.EXE
18:04:56 已允许:  白领女职员做爱实拍.EXE 创建 C:\WINDOWS\C.EXE
18:04:56 已允许:  白领女职员做爱实拍.EXE 创建 C:\WINDOWS\SOURCE.EXE
18:04:56 已允许:  白领女职员做爱实拍.EXE 创建 C:\WINDOWS\STAT.EXE
18:04:56 已允许:  白领女职员做爱实拍.EXE 读取 hkey_users\S-1-5-21-606747145-682003330-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS IE_Associations
18:04:57 已允许: 白领女职员做爱实拍.EXE    读取 C:\WINDOWS\STAT.EXE
18:04:57          stat.exe                               添加到低限制组启发式分析计算的威胁级别值较高
18:05:12 已允许: stat.exe                               读取 C:\WINDOWS\STAT.EXE
18:05:19 已允许: stat.exe       创建 C:\Documents and Settings\Computer\LOCAL SETTINGS\TEMP\BT4573.BAT
18:05:19 已允许: stat.exe       读取 C:\WINDOWS\SYSTEM32\CMD.EXE
18:05:32 已允许: Windows Command Processor  读取 C:\WINDOWS\SYSTEM32\CMD.EXE
18:05:38 已允许: Windows Command Processor  读取 C:\WINDOWS\SYSTEM32\CONIME.EXE
18:05:38 已允许: Windows Command Processor  读取 C:\Documents and Settings\Computer\LOCAL SETTINGS\TEMP\BT4573.BAT
18:05:38 已允许: Windows Command Processor  读取 C:\WINDOWS\SOURCE.EXE
18:05:39 : Trojan-Downloader.Win32.VB.sxe Source.exe 添加到不信任组 Trojan-Downloader.Win32.VB.tbo
18:05:46 被拒绝: 启动自身 Source.exe             自动运行启动自身
18:05:53 已允许: Windows Command Processor  读取 C:\Documents and Settings\Computer\LOCAL SETTINGS\TEMP\BT4573.BAT
18:05:53 已允许: Windows Command Processor  读取 C:\WINDOWS\C.EXE
18:05:54 : Trojan-Downloader.Win32.VB.sxe c.exe          添加到不信任组 Trojan-Downloader.Win32.VB.sxe
18:05:55 已允许: stat.exe       删除 C:\Documents and Settings\Computer\LOCAL SETTINGS\TEMP\BT4573.BAT

19:21:21 已允许: Source.exe 读取  C:\WINDOWS\SOURCE.EXE
19:21:21 已允许: Source.exe 创建  C:\WINDOWS\CONFIG\360R.EXE
19:21:27 已允许: Source.exe 读取  hkey_users\S-1-5-21-606747145-682003330-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS IE_Associations
19:21:28 已允许: c.exe    读取  C:\WINDOWS\C.EXE
19:21:29 已允许: c.exe    创建  C:\WINDOWS\CONFIG\360RP.EXE
19:21:33 已允许: Source.exe 读取  C:\WINDOWS\CONFIG\360R.EXE
19:21:38 已允许: c.exe    读取  hkey_users\S-1-5-21-606747145-682003330-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS IE_Associations
19:21:47 已允许: c.exe    读取  C:\WINDOWS\CONFIG\360RP.EXE
19:21:59 已允许: 360R.exe 读取  C:\WINDOWS\CONFIG\360R.EXE
19:22:03 已允许: 360rp.exe  读取  C:\WINDOWS\CONFIG\360RP.EXE
19:22:05 已允许: 360R.exe 读取  C:\DOCUMENTS AND SETTINGS\COMPUTER\COOKIES Cookies2
19:22:06 已允许: 360R.exe 读取 C:\DOCUMENTS AND SETTINGS\COMPUTER\LOCAL SETTINGS\HISTORY\HISTORY.IE5 History2
19:22:30 已允许: 360R.exe  利用DNS缓存机制进行转换 u.v989.com 使用系统程序接口(DNS)
19:22:33 已允许: 360rp.exe 修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\EXPLORER\SHELL FOLDERS Common Startup
19:22:42 已允许: 360rp.exe 修改 hkey_users\S-1-5-21-606747145-682003330-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER Policies_Explorer
19:22:42 已允许: 360rp.exe 修改 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER Policies_Explorer
19:22:41 已允许: 360rp.exe 读取 C:\WINDOWS\SYSTEM32\WSHOM.OCX
19:22:42 已允许: 360rp.exe 读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
19:22:42 已允许: 360rp.exe 修改 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS Common Startup
19:22:43 已允许: 360R.exe  创建 C:\Documents and Settings\Computer\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\SPQBCH6R\SETUP[1].EXE
19:22:49 已允许: 360R.exe  读取 C:\WINDOWS\CONFIG\360R.EXE
19:22:49 已允许: 360R.exe  创建 C:\PROGRAM FILES\SETUP.EXE
19:23:03  Setup.exe 添加到低限制组启发式分析计算的威胁级别值较高
19:23:19 已允许: Setup.exe 读取 C:\PROGRAM FILES\SETUP.EXE
19:23:21 已允许: 360R.exe  读取 C:\WINDOWS\CONFIG\360R.EXE
19:23:22 已允许: 360R.exe  删除 C:\PROGRAM FILES\SETUP.EXE

[ 本帖最后由牧羊老汉于 2009-11-28 20:23 编辑 ]

显示全部楼层 · 发表于 2009-11-28 19:02:31

牧羊人很厉害啊！我其实就是想看看这马想干点啥～～～
辛苦了！谢谢！
顺带慰问下你的爱机～～～３Ｑ！　

看六楼的图真没想到星星这么猛～～～

显示全部楼层 · 发表于 2009-11-28 19:22:21

不完全分析= =

白领女职员做爱实拍.exe
－c.exe
　－360rp.exe
　　－\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon
　　－\WINDOWS\520.Ico
　　－\WINDOWS\sys.dll
　　－\WINDOWS\movie.Ico
　　－\WINDOWS\Game.Ico
　　－\WINDOWS\sys.dll
　　－\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.url
－Source.exe
　　－\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
　　－\Application Data\Microsoft\Internet Explorer\Quick Launch\Show Desktop.scf
　　－\Application Data\Microsoft\Internet Explorer\Quick Launch\免费小说  .url
　　－\Favorites\免费小说  .url
　　－\Desktop\免费电影.url
　　－\Desktop\小游戏.url
　　－\Favorites\我看电影       .url
　　－\Favorites\亲亲电影网    .url
　　－\Favorites\美女人体艺术图片站  .url
　　－\Favorites\最新高清电影免费在线观看.url
　　－\Favorites\超级好玩的小游戏.url
　　－\Favorites\网上导航       .url
　　－\Favorites\百度搜索    .url
　－360R.exe
　　－TCP [本机 : 2666] ->  [202.103.178.70 : 80 (http)]
　　－TCP [本机 : 2667] ->  [60.173.10.7 : 8080]
　　－TCP [本机 : 2668] ->  [60.173.10.7 : 8080]
　　－\Program Files\Setup.exe
　　－C:\Program Files\play.exe
－stat.exe
　　－\Local Settings\Temp\bt6842.bat
　　　－@echo off
　　　－start Source.exe
　　　－start c.exe
　　　－exit

显示全部楼层 · 发表于 2009-11-28 20:08:38

小A查杀

[病毒样本] 一个TV播放器调用ie自动弹出的exe文件

本帖子中包含更多资源

回复 3楼尤金卡巴斯基的帖子

本帖子中包含更多资源

评分

回复 7楼牧羊老汉的帖子

评分

评分

[病毒样本] 一个TV播放器调用ie自动弹出的exe文件

本帖子中包含更多资源

回复 3楼 尤金卡巴斯基 的帖子

本帖子中包含更多资源

评分

回复 7楼 牧羊老汉 的帖子

评分

评分

回复 3楼尤金卡巴斯基的帖子

回复 7楼牧羊老汉的帖子