过所有杀软的一款恶意软件，也可能是木马（如灰鸽子）

显示全部楼层 · 发表于 2010-1-9 12:37:41

本帖最后由 Hacker29cn 于 2010-1-9 19:08 编辑

最近安装了一款叫做俄罗斯方块的程序，结果主页被修改，同时加载项多了两项。而且在系统启动时启动一个叫做DXSetup的程序，系统变慢，鼠标轻微失去控制。在C:\Documents and Settings\用户名\Application Data下释放DXsetup RUNDLL 和一个命名为V的不明文件，现在请大家小心测试，该款恶意软件已经过了所有杀软：http://www.virscan.org/report/878750259b2e01d4cfffe99c8628b165.html

必须安装才能看出其恶意行为，就本文件似乎看不出异常。各位小心，谢谢！请大家帮忙看看，感激

可能是这个样本，我估计传错了，真对不起各位，对不起！

如果提取不全，请直接下载即可：
http://www.game2.in/2010010631.php?id=1&sn=2010010631.rar
就是这个恶意程序

再次感谢大家的热心！

显示全部楼层 · 发表于 2010-1-9 12:42:15

2010-1-9 12:39:48 创建文件允许
进程: d:\emule\eluosujiejke\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsb34.tmp\eluosujiejke.exe
规则: [文件组][A]所有执行文件_ -> [文件]*; *.exe

2010-1-9 12:39:49 创建新进程允许
进程: d:\emule\eluosujiejke\eluosujiejke.exe
目标: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsb34.tmp\eluosujiejke.exe
规则: [应用程序]*

2010-1-9 12:39:53 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsh36.tmp\InstallOptions.dll
规则: [文件组][A]所有执行文件_ -> [文件]*; *.dll

2010-1-9 12:40:08 创建文件夹允许
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: D:\eMule\eluosujiejke\俄罗斯方块
规则: [文件]*

2010-1-9 12:40:11 创建文件夹阻止
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Start Menu\Programs\俄罗斯方块
规则: [文件]*

2010-1-9 12:40:13 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Desktop\俄罗斯方块.lnk
规则: [文件]*

2010-1-9 12:40:14 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Desktop\俄罗斯方块 Help.lnk
规则: [文件]*

2010-1-9 12:40:14 创建注册表项阻止
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\hyfk.exe
规则: [注册表组]文件关联设置 -> [注册表]*\SOFTWARE\Microsoft\Window*\CurrentVersion\App Paths*

2010-1-9 12:40:14 创建注册表项阻止
进程: c:\documents and settings\administrator\local settings\temp\nsb34.tmp\eluosujiejke.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\hyfk.exe
规则: [注册表组]文件关联设置 -> [注册表]*\SOFTWARE\Microsoft\Window*\CurrentVersion\App Paths*

2010-1-9 12:40:20 删除文件允许
进程: d:\emule\eluosujiejke\eluosujiejke.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsb34.tmp\eluosujiejke.exe
规则: [文件组][A]所有执行文件_ -> [文件]*; *.exe

没毒
lz没搞错？

显示全部楼层 · 发表于 2010-1-9 12:45:41

not virus

显示全部楼层 · 发表于 2010-1-9 12:48:17

有那么厉害吗？

显示全部楼层 · 发表于 2010-1-9 12:59:18

显示全部楼层 · 发表于 2010-1-9 13:09:55

奇怪，为什么用沙盘没有发现修改主页和释放异常文件的记录，但实际安装后重启就会异常？

显示全部楼层 · 发表于 2010-1-9 13:11:45

回复 2# username

我在沙盘也没发现什么，但是一重启就不同了，主页立即变成054.com。同时桌面多出IE6的图标，原来IE8就消失了

显示全部楼层 · 发表于 2010-1-9 13:26:36

5l的图已是重启后的
你也是用虚拟机试的？

显示全部楼层 · 发表于 2010-1-9 14:33:47

没发现恶意动作，安装在VISTA中失败

显示全部楼层 · 发表于 2010-1-9 18:55:31

回复 8# username

我是实机测试的，其实我发现可能您的系统已经被感染了，请看看您的IE图标，右击一下，好像已经被修改了啊。

[病毒样本] 过所有杀软的一款恶意软件，也可能是木马（如灰鸽子）

本帖子中包含更多资源

本帖子中包含更多资源