【04-18】无进程木马一个

dikex

某论坛弄到的无进程木马一个，病毒被激活后会不断地在system32文件夹下面生成sysinfo.dll，插入到explorer.exe和winlogon.exe里面，在各个分区生成sysinfo2.dll（和sysinfo.dll时同一个文件）和autorun.inf，老土的利用自动播放；
注册表方面：不断创建HKCR\CLSID\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子项和子键，HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{989D2FEB-5411-4565-8988-1DD2C5263377}以及其子键，实现浏览器劫持，不断地将HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的ShowSuperHidden的值设为4，使得用户不能查看隐藏文件；

样本，密码virus

promised

BD个变态
版本 16.0.7
病毒库签名 2007-4-17
开始时间: 2007-4-18 19:20
引擎: KAV 引擎 (AVK 17.3590), BD  引擎
启发式: 打开
压缩文件: 打开
系统区域: 打开

扫描系统区域...
扫描所选择的目录和文件...
对象: SysInfo2.Dll
        路径: E:\病毒
        Status: 已发现病毒
        病毒: BehavesLike:Win32.ExplorerHijack (BD  引擎)
Analysis complete: 2007-4-18 19:20
    2 files checked
    1 infected files detected
    发现 0 个可疑文件

Whitlack

小红伞
Virus or unwanted program 'HEUR/Crypted'
detected in file 'D:\My Downloads\病毒\SysInfo2.Dll' [HEUR/Crypted].

小邪邪

MCAFEE:
2007-4-18 19:20:54
已由访问保护规则禁止 autorun.inf
防病毒标准保护:禁止创建自动运行文件
已阻止的操作: 创建

扫描器：

[SysInfo2.Dll]
BD标准引擎 |  BehavesLike:Win32.ExplorerHijack
卡巴标准引擎|  没有发现病毒
大蜘蛛BETA引擎|  BACKDOOR.Trojan
NOD32标准引擎|  没有发现病毒
VBA32标准引擎|  infected   : 0       - infected    : 0

小邪邪

BD引擎简直太牛叉了

xpn282

AVK中的BD很牛X..
但我装BD10后,,,升级更新...查杀率都没AVK中的BD高

jlennon

是你没装好吧，BD10的引擎比7.0.2.398要新一些，貌似记得是7.1.2什么什么吧

xpn282

官它呢..反正我现在不用它了..
红伞的服务我也停掉了 ...只用EQ和LNS

小邪邪

我现在用的BD引擎是BitDefender Internet Security V10.5 Beta 4里给分离出来的引擎
呵呵，挺正常的，感觉有够强的，理所当然的要用做主杀引擎

[ 本帖最后由 小邪邪 于 2007-4-18 20:25 编辑 ]

woshilizhongqi

瑞星过