sysload3

zxy900906

2007-3-31 18:11:20        Safe'n'Sec Scan report

2007-3-31 18:11:20        Scan start time:        2007-3-31 18:11:20

2007-3-31 18:11:20        Action applied to detected malware:       
2007-3-31 18:11:20        Scan level:        Full

2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\cmdbcs.exe        Infected        Trojan.PWS.OnLineGames.ARI        Moved to quarantine
2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\sysload3.exe        Infected        BehavesLike:Win32.ExplorerHijack        Moved to quarantine
2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\~tmp4933.exe        Infected        BehavesLike:Win32.ExplorerHijack        Moved to quarantine
2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\~tmp6175.exe        Infected        BehavesLike:Win32.ExplorerHijack        Moved to quarantine
2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\~tmp8567.exe        Infected        BehavesLike:Win32.ExplorerHijack        Moved to quarantine
2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3\~tmp8851.exe        Infected        BehavesLike:Win32.ExplorerHijack        Moved to quarantine
2007-3-31 18:11:23        Scan area:

2007-3-31 18:11:23        C:\Documents and Settings\Administrator\桌面\sysload3
2007-3-31 18:11:23       
2007-3-31 18:11:23        Objects scanned:        6
2007-3-31 18:11:23        Malicious objects detected:        6
2007-3-31 18:11:23        Malicious objects deleted / removed:        6

2007-3-31 18:11:23        Scan completion time:        2007-3-31 18:11:23

蓝色牛仔裤

BD犀牛......

solcroft

原帖由 风野胤 于 2007-3-31 19:21 发表

红伞是怎么启发的
难道不是变种么

也不可能是行为分析
那依据什么启发呢

HEUR/Malware何HEUR/Crypted都是红伞启发报的名字，就像NOD32的NewHeur_PE （New/Heuristics, Packed Executable）的意思
其实NOD32的NewHeur_PE和红伞的HEUR/Crypted似乎蛮像的，都是举报可疑加壳文件，只是红伞用了Crypted的字眼，NOD32用了PE
启发报的病毒未必都是变种，也有可能是新的未知病毒

jlennon

原帖由 蓝色牛仔裤 于 2007-3-31 18:23 发表
BD犀牛......

用过犀牛一眼就能看出

chou

Dr.web4.33
sysload3.rar\~tmp4933.exe;D:\download\sysload3.rar;Probably DLOADER.Trojan;;
sysload3.rar\cmdbcs.exe;D:\download\sysload3.rar;Probably BINARYRES;;
sysload3.rar\~tmp8567.exe;D:\download\sysload3.rar;Probably DLOADER.Trojan;;
sysload3.rar\sysload3.exe;D:\download\sysload3.rar;Probably DLOADER.Trojan;;
sysload3.rar\~tmp6175.exe;D:\download\sysload3.rar;Probably DLOADER.Trojan;;
sysload3.rar\~tmp8851.exe;D:\download\sysload3.rar;Probably DLOADER.Trojan;;

Mcafee.....miss

gggh

卡巴报..

马力

驱逐舰报

xffsfy

~tmp开头的4个文件MD5值一样，剩下的就不用说了吧....

moonsilver

3月31日，瑞星全球反病毒监测网截获一个与“熊猫烧香”非常相似的高危病毒，命名为“ANI蠕虫（Worm.DlOnlineGames.a）”。该病毒不光传播和危害方式与“熊猫烧香”病毒非常相似，还利用了上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞。根据瑞星客户服务中心的统计，短短24小时内，已接到大量用户的求助。鉴于该病毒可能会广泛传播并且危害较为严重，瑞星发出今年第一个“橙色安全警报”（二级）。

    瑞星反病毒专家分析，被“ANI蠕虫”感染的电脑会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”。同时，染毒电脑还会发出大量带毒邮件，邮件的题目是：“你和谁视频的时候被拍下的？给你笑死了！”邮件内容为“看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！http://****.microfsot.com/***/134952.htm”，收到邮件的用户点击这个网址就会被感染。

    瑞星工程师发现，病毒作者使用国内某网站的邮箱散发病毒，并且邮件内容也为中文，因此基本可以确定该病毒为国人编写。此外，该病毒跟“熊猫烧香”病毒一样，也会感染网页文件并加入病毒代码。如果网站编辑的计算机被该病毒感染，将网页文件上传到网站，那么访问该网站用户就会被感染。

    更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有提供补丁程序。

soul20010

FS7.0
Result: 6 malware found
Trojan-Downloader.Win32.Agent.bky (virus)
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\~tmp4933.exe
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\~tmp8567.exe
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\sysload3.exe
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\~tmp6175.exe
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\~tmp8851.exe
Trojan-PSW.Win32.OnLineGames.lc (virus)
C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\sysload3.rar\cmdbcs.exe