三个样本

1p1

hp://219.153.20.181/h.exe
h://www.aame.cn/k1.rar
p://www.aame.cn/yaku0017.rar

蓝色牛仔裤

Virus check with AntiVirusKit
Version 16.0.7
Virus signatures of 2007-4-11
Start time: 2007-4-13 11:03
Engine(s): KAV engine (AVK 17.3907), BD-Engine (BD 17.5838)
Heuristic: On
Archives: On
System areas: On

Check system areas...
Check selected directories and files...
Object: yaku0017.rar
        Path: C:\Documents and Settings\Administrator\桌面
        Status: Virus, file deleted
        Virus: Backdoor.Win32.Agent.ahj (KAV engine)
Object: k1.rar
        Path: C:\Documents and Settings\Administrator\桌面
        Status: Virus, file deleted
        Virus: BehavesLike:Trojan.Downloader (BD-Engine)
Analysis complete: 2007-4-13 11:03
    3 files checked
    2 infected files detected
    0 suspected files detected

beat2

第一个过了红伞，运行都不报，上报了

后两个还没下完就报了

mofunzone

第一个h.exe比较诡异。。
生成了两个文件，一个a.bat，一个叫h.exe的
a.bat是用来删除h.exe的，但是那个h.exe是0字节，而且不是win32程序。。
不知道做什么用的，anyway，上报雨伞了。。
virusbuster
File:         h.exe
Status:         INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5         52e01f6a2d25108f9386039fa4e991e5
Packers detected:         NSPACK

Scanner results
Scan taken on 13 Apr 2007 03:15:36 (GMT)
AntiVir         Found nothing
ArcaVir         Found nothing
Avast         Found nothing
AVG Antivirus         Found nothing
BitDefender         Found nothing
ClamAV         Found nothing
Dr.Web         Found nothing
F-Prot Antivirus         Found Possibly a new variant of W32/PWStealer.gen1
F-Secure Anti-Virus         Found nothing
Fortinet         Found nothing
Kaspersky Anti-Virus         Found nothing
NOD32         Found nothing
Norman Virus Control         Found nothing
Panda Antivirus         Found nothing
Rising Antivirus         Found nothing
VirusBuster         Found Packed/NSPack
VBA32         Found Downloader.Banload.15 (paranoid heuristics) (probable variant)

[ 本帖最后由 mofunzone 于 2007-4-12 19:19 编辑 ]

小邪邪

扫描器通杀3个，VBA32引擎（beta2）开高启发实在是很疯狂的

bridgewr

微点报一个，另两个没有东西，说没找到压缩文件。

The EQs

Time        Module        Object        Name        Threat        Action        User        Information
2007-4-13 16:26:51        IMON        file        http://www.aame.cn/yaku0017.rar        a variant of Win32/Agent.NEO trojan                KASPERSK-F13F4E\EQ2       
2007-4-13 16:26:39        IMON        file        http://www.aame.cn/k1.rar        probably unknown NewHeur_PE virus                KASPERSK-F13F4E\EQ2

金剑

风暴胜者V2 测试版本(http://www.v0day.com)
_________您的安全是我们的责任_______________
载入病毒库…进行整理…分配内存…可以使用



===============================================
   ___________病毒查杀结果__________________


===============================================

2007年4月13日16时32分 开始查杀C:\Documents and Settings\Administrator\桌面\新建文件夹\新建文件夹 (2)
C:\Documents and Settings\Administrator\桌面\新建文件夹\新建文件夹 (2)\h.exe 发现未知可疑文件:Win32.NkHack.BDX.A 操作:阻止运行
=========================================

_________文件性质分析结果________________
"带壳"仅指文件性质,仅供专业人员分析使用。


-----------------------------------------

2007年4月13日16时32分收起线程…100% 查杀完毕！
扫描文件：3查杀病毒：1