非常厉害的一个样本,过全部杀软,过360主防

显示全部楼层 · 发表于 2010-8-3 12:22:56

金山 kill lvvjx5972.exe<a:nsis>lvvjx5972<a:nsis>$shell[17]\baidu\msfsg.exeWin32.Troj.VXDepack.a 未处理

显示全部楼层 · 发表于 2010-8-3 13:07:46

本帖最后由 wjcharles 于 2010.8.3 13:09 编辑

MSE删了一个dll和一个exe：

Microsoft Antimalware has detected spyware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/? ... threatid=2147631210
      Name: Trojan:Win32/Goriadu.A
      ID: 2147631210
      Severity: Severe
      Category: Trojan
      Path: file:C:\Program Files\baidu\spass.dll
      Detection Origin: Local machine
      Detection Type: Concrete
      Detection Source: Real-Time Protection
      Status: Suspended
      User: NT Authority\System
      Process Name: System
      Signature Version: AV: 1.87.1076.0, AS: 1.87.1076.0
      Engine Version: 1.1.6004.0

Microsoft Antimalware has detected spyware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/? ... threatid=2147631210
      Name: Trojan:Win32/Goriadu.A
      ID: 2147631210
      Severity: Severe
      Category: Trojan
      Path: file:C:\Program Files\baidu\spass.dll
      Detection Origin: Local machine
      Detection Type: Concrete
      Detection Source: Real-Time Protection
      Status: Suspended
      User: Unknown\Unknown
      Process Name: C:\Program Files\baidu\msfsg.exe
      Signature Version: AV: 1.87.1076.0, AS: 1.87.1076.0
      Engine Version: 1.1.6004.0

显示全部楼层 · 发表于 2010-8-3 13:09:23

金山網盾kill 表示木有壓力

显示全部楼层 · 发表于 2010-8-3 19:03:20

2010-08-03 13:26:28 创建文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:C:\Program Files\baidu
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*

2010-08-03 13:26:28 创建文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:C:\Program Files\baidu\msfsg.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:29 修改文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:F:\virus
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->F:\*

2010-08-03 13:26:30 创建文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:F:\virus\uuse-5972.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2010-08-03 13:26:31 创建文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:C:\Program Files\baidu\uninst18.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:32 修改文件    操作:允许
进程路径:F:\virus\lvvjx5972.exe
文件路径:F:\virus
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->F:\*

2010-08-03 13:26:33 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx14.tmp\ns15.tmp
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-08-03 13:26:33 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx14.tmp\ns15.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c netsh -c interface dump>c:\ipconfig.txt
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-08-03 13:26:35 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\ipconfig.txt
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%SystemDrive%\*

2010-08-03 13:26:35 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:-c interface dump
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe

2010-08-03 13:26:39 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx14.tmp\ns18.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c netsh interface ip set address name="本地连接"  source=dhcp
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-08-03 13:26:39 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:interface ip set address name="本地连接"  source=dhcp
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe

2010-08-03 13:26:44 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx14.tmp\ns19.tmp
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop Dhcp
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe

2010-08-03 13:26:47 创建文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\setup878653.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:48 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\siglow.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:26:48 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\dsetup.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:48 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\siglow.sys
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.sys

2010-08-03 13:26:48 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\newnetgar.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:26:48 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\spass.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:26:51 修改文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\msfsg.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:52 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\Program Files\baidu\uninst13.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:54 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\dsetup.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:26:56 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\dsetup.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:27:00 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\newnetgar.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:01 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\newnetgar.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:03 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\spass.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:04 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\spass.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:06 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\siglow.sys
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.sys

2010-08-03 13:27:07 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\siglow.sys
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.sys

2010-08-03 13:27:09 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\siglow.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:10 修改文件    操作:允许
进程路径:C:\Program Files\baidu\msfsg.exe
文件路径:C:\Program Files\baidu\siglow.dll
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.dll

2010-08-03 13:27:10 创建文件    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\nethome32.dll
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（一）->%windir%\system32\*.dll

2010-08-03 13:27:10 运行应用程序    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\nethome32.dll RundllInstall NetHomeIDE
触发规则:所有程序规则->系统程序设置->%windir%\system32\rundll32.exe

2010-08-03 13:27:11 修改注册表内容    操作:阻止
进程路径:C:\Program Files\baidu\dsetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing
注册表名称:Policy
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Driver Signing

2010-08-03 13:27:11 修改注册表内容    操作:阻止
进程路径:C:\Program Files\baidu\dsetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing
注册表名称:Policy
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Driver Signing

2010-08-03 13:27:12 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_SIGLOW
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum\Root*

2010-08-03 13:27:12 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_SIGLOW
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum\Root*

2010-08-03 13:27:13 创建文件    操作:允许
进程路径:C:\Program Files\baidu\dsetup.exe
文件路径:C:\WINDOWS\system32\siglow.dll
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（一）->%windir%\system32\*.dll

2010-08-03 13:27:14 修改注册表内容    操作:阻止
进程路径:C:\Program Files\baidu\msfsg.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0728566B-DA04-47BC-86AB-8AFEDEB4A549}
注册表名称:NameServer
更改后:61.158.160.197,61.158.160.206
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*

2010-08-03 13:27:14 修改文件    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\netplayone
触发规则:所有程序规则->WINDOWS文件夹全局设置->%windir%\*

2010-08-03 13:27:14 修改文件    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\netplayone
触发规则:所有程序规则->WINDOWS文件夹全局设置->%windir%\*

2010-08-03 13:27:14 修改文件    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\netplayone\MyIEData
触发规则:所有程序规则->WINDOWS文件夹全局设置->%windir%\*

2010-08-03 13:27:15 创建注册表值    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\speednet_sph
注册表名称:[Key]
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\WinSock*

2010-08-03 13:27:15 创建注册表值    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\speednet_sph
注册表名称:[Key]
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\WinSock*

2010-08-03 13:27:15 运行应用程序    操作:允许
进程路径:C:\Program Files\baidu\setup878653.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c netsh winsock reset > nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-08-03 13:27:15 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:winsock reset
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe

2010-08-03 13:27:15 创建注册表值    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\speednet_sph
注册表名称:[Key]
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\WinSock*

2010-08-03 13:27:15 创建注册表值    操作:阻止
进程路径:C:\Program Files\baidu\setup878653.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\speednet_sph
注册表名称:[Key]
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\WinSock*

2010-08-03 13:27:16 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx14.tmp\ns1C.tmp
文件路径:C:\WINDOWS\system32\net.exe
命令行:start Dhcp
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe

2010-08-03 13:27:32 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Program Files\UUCE高清影音
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*

2010-08-03 13:27:32 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Program Files\UUCE高清影音\UUPlayer.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-08-03 13:27:33 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\UUCE高清影音
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\*菜单\*

2010-08-03 13:27:34 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\UUCE高清影音\UUCE高清影音.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\*菜单\*

2010-08-03 13:27:35 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Documents and Settings\Administrator\桌面\UUCE高清影音.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2010-08-03 13:27:36 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\UUCE高清影音\卸载UUCE高清影音.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\*菜单\*

2010-08-03 13:27:36 创建文件    操作:允许
进程路径:F:\virus\uuse-5972.exe
文件路径:C:\Program Files\UUCE高清影音\uninst.exe
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

显示全部楼层 · 发表于 2010-8-3 19:15:08

下载到一半就被KO了！~~~貌似不厉害

显示全部楼层 · 发表于 2010-8-3 19:19:05

网盾下载报毒

显示全部楼层 · 发表于 2010-8-3 19:21:55

回复 5楼 songdehao 的帖子

这位仁兄的头像真拽、、、、

显示全部楼层 · 发表于 2010-8-3 23:44:19

To KL

显示全部楼层 · 发表于 2010-8-4 11:34:51

NOD32没报

显示全部楼层 · 发表于 2010-8-4 20:00:15

[病毒样本] 非常厉害的一个样本,过全部杀软,过360主防

评分