样本PPStream.exe的查杀

显示全部楼层 · 发表于 2007-3-30 03:05:42

不好意思，本来要回复的，结果发成了主题贴

启动程序，一个看似无效后缀的文件，欺骗杀软和Sandbox

代码转换解析后启动了主程序，Sandbox和杀软已失效（我没有杀软，只是推论）

注入DLL文件

试图联网

启动IE

终止咖啡的服务

连续终止

注册启动项

打开taskmgr时病毒程序会试图终止它

每个盘被双击后就会产生autorun，并且试图运行病毒文件

autorun的右键注册表项

病毒样本

转换文件

后遗症：所有的EXE文件运行后会试图也运行病毒主体，而且病毒可以重生

[ 本帖最后由 Oceanzd 于 2007-3-30 03:07 编辑 ]

显示全部楼层 · 发表于 2007-3-30 03:16:03

Scan performed at: 2007-3-30 3:16:10
Scanning Log
NOD32 version 2154 (20070329) NT
Command line: C:\Documents and Settings\EQ2\桌面\BLACKSEEDER1.rar C:\Documents and Settings\EQ2\桌面\TrojanReg(AutoRun).rar C:\Documents and Settings\EQ2\桌面\0130D6B2.rar
Operating memory - is OK

Date: 30.3.2007 Time: 03:16:16
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\BLACKSEEDER1.rar; C:\Documents and Settings\EQ2\桌面\TrojanReg(AutoRun).rar; C:\Documents and Settings\EQ2\桌面\0130D6B2.rar
C:\Documents and Settings\EQ2\桌面\BLACKSEEDER1.rar ?RAR ?BLACKSEEDER1.1 - probably unknown NewHeur_PE virus [7]
C:\Documents and Settings\EQ2\桌面\0130D6B2.rar ?RAR ?0130D6B2.exe - probably unknown NewHeur_PE virus [7]
Number of scanned files: 7
Number of threats found: 2
Number of files cleaned: 2
Time of completion: 03:16:16 Total scanning time: 0 sec (00:00:00)

Notes:
[7] File is probably infected with an unknown virus.

显示全部楼层 · 发表于 2007-3-30 03:37:48

U盘病毒，我算是中毒了，EXE（除了系统的）全部被感染

显示全部楼层 · 发表于 2007-3-30 03:38:42

上次那个U盘病毒竟然加了两层北斗。。。直接过了nod32。。。伤心死了

显示全部楼层 · 发表于 2007-3-30 03:50:12

呵呵，现在差不多没事了，自己动手去代码，好烦……

显示全部楼层 · 发表于 2007-3-30 03:51:30

学校的老师一点安全意识也没有。。。。中了U盘病毒竟然不知道。。。。而且也没有安装任何杀软

显示全部楼层 · 发表于 2007-3-30 04:01:41

谁来Copy一个IE 7.0的主程序？那个也被感染了

显示全部楼层 · 发表于 2007-3-30 08:38:16

回复怎么上传附件我有IE7.0

显示全部楼层 · 发表于 2007-3-30 08:51:33

还没升级, 相信卡吧现在应该不报...

Virus check with AntiVirusKit
Version 16.0.7
Virus signatures of 2007-3-29
Start time: 2007-3-30 8:47
Engine(s): KAV engine (AVK 17.3611), BD-Engine (BD 17.5838)
Heuristic: On
Archives: On
System areas: On

Check system areas...
Check selected directories and files...
Object: BLACKSEEDER1.1
In archive: D:\BLACKSEEDER1.rar
Status: Virus detected
Virus: Generic.Malware.SPBPkg.3A44090B (BD-Engine)
Object: BLACKSEEDER1.rar
Path: D:
Status: Virus detected
Virus: Generic.Malware.SPBPkg.3A44090B (BD-Engine)
Object: 0130D6B2.exe
In archive: D:\0130D6B2.rar
Status: Virus detected
Virus: Generic.Malware.SPBPkg.3A44090B (BD-Engine)
Object: 0130D6B2.rar
Path: D:
Status: Virus detected
Virus: Generic.Malware.SPBPkg.3A44090B (BD-Engine)
Analysis complete: 2007-3-30 8:47
3 files checked
2 infected files detected
0 suspected files detected

显示全部楼层 · 发表于 2007-3-30 10:18:19

微点杀

样本PPStream.exe的查杀

本帖子中包含更多资源

回复 #7 Oceanzd 的帖子

本帖子中包含更多资源