收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 卡巴不报瑞星报
12
返回列表 发新帖
楼主: fanrubin
 收起左侧

卡巴不报瑞星报

[复制链接]
promised
发表于 2007-4-16 20:36:28 | 显示全部楼层
SVOHOST.EXE;E:\SVOHOST[1];Trojan.Shua;Deleted.;
回复

举报

jlennon
头像被屏蔽
发表于 2007-4-16 21:00:47 | 显示全部楼层
为什么不用PGP?

[ 本帖最后由 jlennon 于 2007-4-16 21:10 编辑 ]
回复

举报

jlennon
头像被屏蔽
发表于 2007-4-16 21:06:44 | 显示全部楼层

网上搜到的

如果有人看见这个软件的话,还是不要下了。此软件貌似木马,不易删除,加密也不安全,只不过是把东西放进回收站隐藏起来罢了。

软件安装后会修改注册表中userinit.exe的项目而不是设置自己的独立注册表项,这样可以开机后立即运行。软件的主程序名叫svohost.exe,就是要装扮成关键进程svchost.exe,让不小心的人删不了。

其所谓的“加密”过程如下:

取回收站目录: F:\RECYCLER\
生成文件名: F:\RECYCLED\desktop.ini,隐藏,系统文件,文件内容如下:
'[.ShellClassInfo]CLSID={645FF040-5081-101B-9F08-00AA002F954E}'

建立目录: 'S-1-5-21-1060284298-811497611-11778920086-500'
生成文件名: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\desktop.ini
建立目录: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\
建立目录: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\
查找文件是否存在(文件目录是否加密过): F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\Support.mem 其它Support为加密的目录名
取Support的ASCII码"537570706F7274"
建立目录: F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\537570706F7274"
移动文件: F:\Support\* 到F:\RECYCLED\S-1-5-21-1060284298-811497611-11778920086-500\INFO2\Di1 \com1.{21ec2020-3aea-1069-a2dd-08002b30309d}\537570706F7274"
生成文件名: F:\Support|.mem 表示F:\Support目录加密,mem为加密类型
生成加密记录文件名: "C:\WINNT\system32\danine.dll"
写入加密记录到加密记录文件: 向C:\WINNT\system32\danine.dll中写入F:\Support|.mem
生成加密记录文件名: "应用程序目录\danine.dll"
写入加密记录到加密记录文件: 向 应用程序目录\danine.dll中写入F:\Support|.mem
生成文件: F:\Support.mem 用于解密文件目录.
mem文件,显示的图标为文件夹,打开文件类型查看后发现:
注册的文件类型:.me0-.me25,.mem 这些文件的打开方式为:"应用程序目录\SVOHOST.EXE" unlock "%1"
最后,用户在F:\看到了Support.mem,其实是一个文件并不是目录!
回复

举报

solcroft
发表于 2007-4-16 21:40:24 | 显示全部楼层
除了想在system32目录下创建一个danine.dll以外不见任何怪异举动,ESS执行前后不报
回复

举报

无瑕
发表于 2007-4-16 22:04:44 | 显示全部楼层
驱逐舰报
回复

举报

mofunzone
发表于 2007-4-16 22:54:33 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\SVOHOST'
C:\Documents and Settings\morgan\My Documents\SVOHOST\
  SVOHOST.EXE
      [DETECTION] Contains signature of the application APPL/HideDir.B
      [INFO]      The file was deleted!
回复

举报

atsjun
发表于 2007-4-17 02:38:46 | 显示全部楼层
好像是病毒哦一解压红伞就报了
回复

举报

solcroft
发表于 2007-4-17 02:42:23 | 显示全部楼层
原帖由 atsjun 于 2007-4-17 04:08 发表
好像是病毒哦一解压红伞就报了

在样本区混久了你就会领悟到:红伞报的,未必就是毒
回复

举报

剑指七星
发表于 2007-4-17 08:23:38 | 显示全部楼层
好像是没有问题的
这个是卡巴俄罗斯总部的回复

Hello,

SVOHOST.exe_

No malicious code was found in this file.

Please quote all when answering.

[ 本帖最后由 200530040058 于 2007-4-17 08:25 编辑 ]
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 10:13 , Processed in 0.093369 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表