非常厉害的一个样本,过全部杀软,过360主防

显示全部楼层 · 发表于 2010-8-4 20:04:06

回复 25楼 jun131470 的帖子
MD有这功能！可以检测是否含有可执行代码

显示全部楼层 · 发表于 2010-8-4 22:01:34

我也有啊一看就中哦

显示全部楼层 · 发表于 2010-8-7 21:31:06

回复 24楼 hddu 的帖子

用XueTr0.32的启动项和服务项中没有查到这个DLL文件是如何启动的

显示全部楼层 · 发表于 2010-8-7 21:57:41

免升级网络化反间谍软件—风暴微塔 P2PSafe 2012
作者：王鹤立 http://hi.baidu.com/迅者
查杀模式： R3Check 免可信

====总扫描:1 | 发现可疑：0

显示全部楼层 · 发表于 2010-8-7 22:11:12

TO
A-squared ; Dr.Web ; ESET ; F-Secure ; Kaspersky ; Immunet ; Ikarus ; McAfee ; Microsoft ; Norman ; Sophos ; Panda ; avira ; 費爾 ; Aegislab ; AVG，eScan

显示全部楼层 · 发表于 2010-8-7 22:23:55

额貌似很厉害~~

显示全部楼层 · 发表于 2010-8-7 22:56:20

今天是7号了，照样还是全过。。。
文件 uuse-5891.exe 接收于 2010.08.07 14:47:44 (UTC)

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2010.08.07.00	2010.08.06	-
AntiVir	8.2.4.34	2010.08.06	-
Antiy-AVL	2.0.3.7	2010.08.06	-
Authentium	5.2.0.5	2010.08.07	-
Avast	4.8.1351.0	2010.08.07	-
Avast5	5.0.332.0	2010.08.07	-
AVG	9.0.0.851	2010.08.07	-
BitDefender	7.2	2010.08.07	-
CAT-QuickHeal	11.00	2010.08.07	-
ClamAV	0.96.0.3-git	2010.08.07	-
Comodo	5671	2010.08.06	-
DrWeb	5.0.2.03300	2010.08.07	-
Emsisoft	5.0.0.36	2010.08.07	-
eSafe	7.0.17.0	2010.08.05	-
eTrust-Vet	36.1.7773	2010.08.07	-
F-Prot	4.6.1.107	2010.08.07	-
F-Secure	9.0.15370.0	2010.08.07	-
Fortinet	4.1.143.0	2010.08.07	-
GData	21	2010.08.07	-
Ikarus	T3.1.1.84.0	2010.08.07	-
Jiangmin	13.0.900	2010.08.07	-
Kaspersky	7.0.0.125	2010.08.07	-
McAfee	5.400.0.1158	2010.08.07	-
McAfee-GW-Edition	2010.1	2010.08.06	Heuristic.BehavesLike.Win32.AdSpyware.H
Microsoft	1.6004	2010.08.07	-
NOD32	5348	2010.08.06	-
Norman	6.05.11	2010.08.07	-
nProtect	2010-08-07.01	2010.08.07	-
Panda	10.0.2.7	2010.08.07	-
PCTools	7.0.3.5	2010.08.07	-
Prevx	3.0	2010.08.07	-
Rising	22.59.05.04	2010.08.07	-
Sophos	4.56.0	2010.08.07	-
Sunbelt	6698	2010.08.07	-
SUPERAntiSpyware	4.40.0.1006	2010.08.07	-
Symantec	20101.1.1.7	2010.08.07	-
TheHacker	6.5.2.1.335	2010.08.07	-
TrendMicro	9.120.0.1004	2010.08.07	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.07	-
VBA32	3.12.12.8	2010.08.04	-
ViRobot	2010.7.29.3961	2010.08.07	-
VirusBuster	5.0.27.0	2010.08.06	-

显示全部楼层 · 发表于 2010-8-7 23:54:13

确实厉害，过红伞，微点主防报，A2干掉

显示全部楼层 · 发表于 2010-8-8 08:19:52

2010-08-08 08:15:54 创建文件    操作:允许
进程路径:D:\Program Files\GreenBrowserGB\GreenBrowser.exe
文件路径:F:\病毒和测试\真的毒\lvvjx5972.exe
触发规则:所有程序规则->警戒级别★★★☆☆【FD全局终章】->*.exe

2010-08-08 08:16:39 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\Program Files\baidu\dsop7.xml
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%ProgramFiles%\*

2010-08-08 08:16:42 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\Program Files\baidu\msfsg.exe
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%ProgramFiles%\*

2010-08-08 08:16:48 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:F:\病毒和测试\真的毒\uuse-5972.exe
触发规则:所有程序规则->警戒级别★★★★☆【非系统盘】->$parent$\*.exe

2010-08-08 08:16:52 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\Program Files\baidu\tempnethome18.ini
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%ProgramFiles%\*

2010-08-08 08:16:54 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\Program Files\baidu\uninst18.exe
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%ProgramFiles%\*

2010-08-08 08:16:54 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA28.tmp
文件路径:C:\WINDOWS\System32\conime.exe
触发规则:所有程序规则->警戒级别★★★★☆【黑名单-点控制】->*\conime.exe

2010-08-08 08:16:54 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA28.tmp
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c netsh -c interface dump>c:\ipconfig.txt
触发规则:所有程序规则->警戒级别★★★★☆【黑名单-点控制】->*\cmd.exe

2010-08-08 08:16:55 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA29.tmp
文件路径:C:\WINDOWS\System32\conime.exe
触发规则:所有程序规则->警戒级别★★★★☆【黑名单-点控制】->*\conime.exe

2010-08-08 08:16:55 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA29.tmp
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c netsh interface ip set address name="无线网络连接"  source=dhcp
触发规则:所有程序规则->警戒级别★★★★☆【黑名单-点控制】->*\cmd.exe

2010-08-08 08:17:01 加载库文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\WINDOWS\system32\DNSAPI.dll
触发规则:所有程序规则->警戒级别★★☆☆☆【加载库文件】->%windir%\system32\dnsapi.dll

2010-08-08 08:17:01 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA2B.tmp
文件路径:C:\WINDOWS\System32\conime.exe
触发规则:所有程序规则->警戒级别★★★★☆【黑名单-点控制】->*\conime.exe

2010-08-08 08:17:01 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA2B.tmp
文件路径:C:\WINDOWS\System32\net.exe
命令行:stop Dhcp
触发规则:所有程序规则->警戒级别★★★☆☆【黑名单-面控制】->%windir%\system32\*

2010-08-08 08:17:02 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsgA27.tmp\nsA2C.tmp
文件路径:C:\WINDOWS\System32\net.exe
命令行:start Dhcp
触发规则:所有程序规则->警戒级别★★★☆☆【黑名单-面控制】->%windir%\system32\*

2010-08-08 08:17:13 创建注册表值    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->警戒级别★★★★☆【自启动项控制】->HKEY_LOCAL_MACHINE\System\*ControlSet*\Control\Session Manager*

2010-08-08 08:17:13 修改文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\WINDOWS\wininit.ini
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%WinDir%\*

2010-08-08 08:17:14 创建注册表值    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->警戒级别★★★★☆【自启动项控制】->HKEY_LOCAL_MACHINE\System\*ControlSet*\Control\Session Manager*

2010-08-08 08:17:14 修改文件    操作:阻止
进程路径:F:\病毒和测试\真的毒\lvvjx5972.exe
文件路径:C:\WINDOWS\wininit.ini
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%WinDir%\*

显示全部楼层 · 发表于 2010-8-8 08:25:03

常见的程序捆绑

[病毒样本] 非常厉害的一个样本,过全部杀软,过360主防