送上一个Viking的行为分析...大家也试试

xpn282

这只Viking是在这个网站碰到的http://demn26.vicp.net/Article/khd/200607/25795.html

抓住它之后运行它..目前发现它有7种不同的行为..不包含注册表(我注册表监控不厉害 )

大家也来分享它运行它..看看它还有什么行为...我只发现7种...

xzthink

Scan performed at: 2007-3-30 0:05:25
Scanning Log
NOD32 version 2154 (20070329) NT
Command line: G:\virus test\0[1].rar
d:\Eset\nod32.exe - is OK
Operating memory - is OK
MBR sector of the 1. physical disk - is OK
Active boot sector of the 1. physical disk - is OK

Date: 30.3.2007  Time: 00:05:28
Anti-Stealth technology is enabled.
Scanned disks, folders and files: G:\virus test\0[1].rar
G:\virus test\0[1].rar ?RAR ?0[1].exe - Win32/Pacex.Gen virus
Number of scanned files: 2
Number of threats found: 1
Number of files cleaned: 1
Time of completion: 00:05:28 Total scanning time: 0 sec (00:00:00)

小邪邪

打足补丁还报这么多，这个网果然够毒

xpn282

原帖由 小邪邪 于 2007-3-30 00:09 发表
打足补丁还报这么多，这个网果然够毒

哈哈  不是一般的毒!!!!很毒..打了补丁IE都还会把那只Viking下载到硬盘...少见了

xzthink

没有防火墙是要挂掉的，呵呵，又是一个trojan downloader ！！！

小邪邪

原帖由 xpn282 于 2007-3-30 00:16 发表

哈哈  不是一般的毒!!!!很毒..打了补丁IE都还会把那只Viking下载到硬盘...少见了

那个还只是在IE的临时文件夹里，离正式的下到硬盘里还“有段距离”  

（因为FD规则根本都还未被触动到）

[ 本帖最后由 小邪邪 于 2007-3-30 00:21 编辑 ]

gbwyy

小红伞和费尔都报了

xpn282

原帖由 小邪邪 于 2007-3-30 00:20 发表


那个还只是在IE的临时文件夹里，离正式的下到硬盘里还“有段距离”  

（因为FD规则根本都还未被触动到）

IE的临时文件夹也是硬盘啊

FD规则没被触动???我一进哪个网站...就提示我IE要创建EXE了.....

小邪邪

呵呵，是在硬盘上，但IE的临时文件夹比较特殊
（即使禁止在IE的临时文件夹里创建任何文件照样可以浏览网页=缓存大小为0）

我这里倒是没有提示IE要干什么哈，补丁，补丁要打好

Nblock

原帖由 xpn282 于 2007-3-30 00:33 发表

IE的临时文件夹也是硬盘啊

FD规则没被触动???我一进哪个网站...就提示我IE要创建EXE了.....

试试把这个拆了