过所有杀软的毒

显示全部楼层 · 发表于 2007-4-26 19:21:46

AhnLab-V3 2007.4.26.0 04.26.2007  no virus found
AntiVir 7.4.0.15 04.26.2007  no virus found
Authentium 4.93.8 04.26.2007  no virus found
Avast 4.7.981.0 04.26.2007  no virus found
AVG 7.5.0.464 04.25.2007  no virus found
BitDefender 7.2 04.26.2007  no virus found
CAT-QuickHeal 9.00 04.25.2007  no virus found
ClamAV devel-20070416 04.26.2007  no virus found
DrWeb 4.33 04.26.2007  no virus found
eSafe 7.0.15.0 04.25.2007  no virus found
eTrust-Vet 30.7.3597 04.26.2007  no virus found
Ewido 4.0 04.26.2007  no virus found
FileAdvisor 1 04.26.2007  no virus found
Fortinet 2.85.0.0 04.26.2007  no virus found
F-Prot 4.3.2.48 04.25.2007  no virus found
F-Secure 6.70.13030.0 04.26.2007  no virus found
Ikarus T3.1.1.5 04.26.2007  no virus found
Kaspersky 4.0.2.24 04.26.2007  no virus found
McAfee 5017 04.25.2007  no virus found
Microsoft 1.2405 04.26.2007  no virus found
NOD32v2 2220 04.26.2007  no virus found
Norman 5.80.02 04.25.2007  no virus found
Panda 9.0.0.4 04.25.2007  no virus found
Prevx1 V2 04.26.2007  no virus found
Sophos 4.16.0 04.23.2007  no virus found
Sunbelt 2.2.907.0 04.19.2007  no virus found
Symantec 10 04.26.2007  no virus found
TheHacker 6.1.6.095 04.15.2007  no virus found
VBA32 3.11.4 04.26.2007  no virus found
VirusBuster 4.3.7:9 04.25.2007  no virus found
Webwasher-Gateway 6.0.1 04.26.2007 no virus found

显示全部楼层 · 发表于 2007-4-26 19:21:49

F-SCS 7.0的“零日”防护：《（害地开机一起启动的SNS2.5 被F-S捷足先登）》

显示全部楼层 · 发表于 2007-4-26 19:22:16

不是病毒吧??所有的都没报

显示全部楼层 · 发表于 2007-4-26 19:36:23

2007-4-26 19:06:40 !**************************************************
Safe'n'Sec 警报
行为
时间: 2007-4-26 19:06:10
类型: 编辑一个文件/目录
风险: 中等

程序
PID: 3384
PPID: 1576
UID: JLJ\jljqq
文件：E:\下载\病毒A\病毒A.EXE

对象
文件/目录: C:\WINDOWS\SYSTEM32\MICROSOFT\BADB.EXE
用户操作: 允许
***************************************************
2007-4-26 19:07:13 !**************************************************
Safe'n'Sec 警报
行为
时间: 2007-4-26 19:06:40
类型: 编辑一个文件/目录
风险: 中等

程序
PID: 3384
PPID: 1576
UID: JLJ\jljqq
文件：E:\下载\病毒A\病毒A.EXE

对象
文件/目录: C:\WINDOWS\SYSTEM32\MICROSOFT\BADC.EXE
用户操作: 允许
***************************************************
2007-4-26 19:07:31 !**************************************************
Safe'n'Sec 警报
行为
时间: 2007-4-26 19:07:14
类型: 编辑一个文件/目录
风险: 中等

程序
PID: 3384
PPID: 1576
UID: JLJ\jljqq
文件：E:\下载\病毒A\病毒A.EXE

对象
文件/目录: C:\WINDOWS\SYSTEM32\MICROSOFT\BADDLL.DLL
用户操作: 允许
***************************************************
2007-4-26 19:08:08 !**************************************************
Safe'n'Sec 警报
行为
时间: 2007-4-26 19:07:31
类型: 编辑一个系统注册表键值
风险: 高

行为监控规则
名称:

程序
PID: 3384
PPID: 1576
UID: JLJ\jljqq
文件: E:\下载\病毒A\病毒A.EXE

对象
注册表项: \REGISTRY\USER\S-1-5-21-776561741-1844237615-725345543-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\MICROSOFT.BAD.B

技术说明
The RUN key contains a list of applications and/or documents launched at startup after a user's login. The list contained in the HKEY_LOCAL_MACHINE registry hive will be processed prior to the list contained in the HKEY_CURRENT_USER hive. The data value for these keys is a fully qualified file name.
Some malicious applications use this system registry key to register themselves or additional components at startup. It’s one method a malicious program employs to launch and to provide defense against unloading from memory by traditional security systems.
Therefore, if the application is not a system utility for changing group policies on the PC, Block any activity by this application.
用户操作: 阻止, 记住此次选择此次对话期间
阻止后终止程序
***************************************************

显示全部楼层 · 发表于 2007-4-26 19:42:02

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00036080.

We received the following archive files:

File ID  Filename  Size (Byte) Result
277540 70.48 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename  Size (Byte) Result
276957  ####A.exe  804.05 KB  MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result  ####A.exe  MALWARE

The file '####A.exe' has been determined to be 'MALWARE'. Virus name is DROPPER (en) Detection will be added to our virus definition file (VDF) with one of the next updates.

Alternatively you can see the analysis result here:
http://analysis.avira.com/sample ... mp;incidentid=36080

An overview of all your submissions can be found here:
http://analysis.avira.com/sample ... B4MVXvtcEbg8BrIQKE9

We recommend to use our upload form for further submissions. In case the result is known it will be shown in realtime to you. Furthermore files which are considered to be false positive suspictions can only be submitted using this method. http://analysis.avira.com/samples/index.php?lang=en

Please note: The detection of Spy/Adware is not available in the product "AntiVir PersonalEdition Classic". Please address specific questions to support@avira.com

Kind regards
Avira Virus Lab

---------------------------------------------
Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Phone: +49 (0) 7542-500 0
Fax: +49 (0) 7542-525 10
Internet: http://www.avira.com

CEO: Tjark Auerbach
Headquarter: Tettnang
Commercial register: AG Ulm HRB 630992

显示全部楼层 · 发表于 2007-4-26 19:42:22

红伞MS说不是病毒??

显示全部楼层 · 发表于 2007-4-26 19:44:22

运行了,EQ没动静啊

显示全部楼层 · 发表于 2007-4-26 19:48:32

程序:
C:\DOCUMENTS AND SETTINGS\OUYANG\LOCAL SETTINGS\TEMP\RAR$EX00.146\病毒A.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\MICROSOFT\BADB.EXE
2) C:\WINDOWS\SYSTEM32\MICROSOFT\BADC.EXE
3) C:\WINDOWS\SYSTEM32\MICROSOFT\BADDLL.DLL
4) C:\DOCUMENTS AND SETTINGS\OUYANG\LOCAL SETTINGS\TEMP\TM_114C.TMP
是否删除木马程序及其衍生物?
嘿嘿~微点大侠在此,小贼休得无礼!!

显示全部楼层 · 发表于 2007-4-26 20:09:07

谢谢, 绘梦银月,已加入样本

[病毒提取者]
网名=绘梦银月
QQ=2803399
[病毒库文件]
文件=20070426_2803399_0004.axx
病毒数=0004
时间=20070426_2803399
[病毒列表]
木马

显示全部楼层 · 发表于 2007-4-26 20:22:26

---------------------------------------------------------------
原挂号1.exe-

========PE格式分析==========

文件头分析【PE Headers】
   文件格式                ：unknown signature, probably MS-DOS
   DOS_HEADER 文件头长度：192
   文件运行所要求的CPU    ：Intel 80386 处理器或更高
   节数目                ：3
   文件创建的时间          ：2003年8月29日8时54分51秒
   OptionalHeader 结构大小  ：E0
   文件信息的标记          ：10F
   标志字                ：10B
   连接器版本号          ：6.0
   代码段长度             ：182000
   已初始化数据块大小    ：14000
   未初始化数据块大小    ：0
★程序入口  [EntryCodeData]：000064D0
   代码段起始 [BaseOfCode]：00001000
   数据库段起始 [BaseOfData]：00183000
★优先装载地址  [ImageBase]：00400000
   内存中节对齐粒度       ：1000
   文件中节对齐粒度       ：1000
   系统所需版本号          ：4.0
   自定义版本号          ：5.0
   子系统所需版本号       ：4.0
   内存中PE映像体的尺寸    ：197000
   所有头+节表的大小       ：1000
   校验和                ：1897F7
   文件系统                ：IMAGE_SUBSYSTEM_WINDOWS_GUI
   DLL特性                ：0
   保留栈的大小          ：100000
   初始时指定栈大小       ：1000
   保留堆的大小          ：100000
   指定堆大小             ：1000
   加载器标志             ：0
   Rva数和大小             ：10

分析节表【Section Table】
序号名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1 .text  00001000  00181EDC  00001000  00182000  60000020
  2 .data  00183000  00012794  00183000  00001000  C0000040
  3 .rsrc  00196000  00000748  00184000  00001000  40000040

分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :MSVBVM60.DLL
   地址 :    00001000    00001000==> EVENT_SINK_GetIDsOfNames
   地址 :    00001008    00001004==> __vbaVarTstGt
   地址 :    00001010    00001008==> __vbaVarSub
   地址 :    00001018    0000100C==> __vbaStrI2
   地址 :    00001020    00001010==> _CIcos
   地址 :    00001028    00001014==> _adj_fptan
   地址 :    00001030    00001018==> __vbaStrI4
   地址 :    00001038    0000101C==> __vbaVarMove
   地址 :    00001040    00001020==> __vbaVarVargNofree
   地址 :    00001048    00001024==> __vbaFreeVar
   地址 :    00001050    00001028==> __vbaLenBstr
   地址 :    00001058    0000102C==> __vbaStrVarMove
   地址 :    00001060    00001030==> __vbaLateIdCall
   地址 :    00001068    00001034==> __vbaFreeVarList
   地址 :    00001070    00001038==> __vbaEnd
   地址 :    00001078    0000103C==> _adj_fdiv_m64
   地址 :    00001080    00001040==> EVENT_SINK_Invoke
   地址 :    00001088    00001044==> __vbaVarIndexStore
   地址 :    00001090    00001048==> __vbaRaiseEvent
   地址 :    00001098    0000104C==> __vbaFreeObjList
   地址 :    000010A0    00001050==> __vbaFreeObjList
   地址 :    000010A8    00001054==> __vbaStrErrVarCopy
   地址 :    000010B0    00001058==> _adj_fprem1
   地址 :    000010B8    0000105C==> __vbaResume
   地址 :    000010C0    00001060==> __vbaVarCmpNe
   地址 :    000010C8    00001064==> __vbaStrCat
   地址 :    000010D0    00001068==> __vbaStrCat
   地址 :    000010D8    0000106C==> __vbaStrCat
   地址 :    000010E0    00001070==> __vbaStrCat
   地址 :    000010E8    00001074==> __vbaSetSystemError
   地址 :    000010F0    00001078==> __vbaStrDate
   地址 :    000010F8    0000107C==> __vbaStrDate
   地址 :    00001100    00001080==> __vbaStrDate
   地址 :    00001108    00001084==> __vbaHresultCheckObj
   地址 :    00001110    00001088==> __vbaHresultCheckObj
   地址 :    00001118    0000108C==> __vbaVargVarCopy
   地址 :    00001120    00001090==> __vbaLenVar
   地址 :    00001128    00001094==> __vbaLenVar
   地址 :    00001130    00001098==> _adj_fdiv_m32
   地址 :    00001138    0000109C==> Zombie_GetTypeInfo
   地址 :    00001140    000010A0==> __vbaVarCmpGe
   地址 :    00001148    000010A4==> __vbaAryDestruct
   地址 :    00001150    000010A8==> __vbaAryDestruct
   地址 :    00001158    000010AC==> __vbaVarIndexLoadRefLock
   地址 :    00001160    000010B0==> __vbaLateMemSt
   地址 :    00001168    000010B4==> __vbaLateMemSt
   地址 :    00001170    000010B8==> __vbaBoolStr
   地址 :    00001178    000010BC==> __vbaStrBool
   地址 :    00001180    000010C0==> __vbaVarForInit
   地址 :    00001188    000010C4==> __vbaExitProc
   地址 :    00001190    000010C8==> __vbaForEachCollObj
   地址 :    00001198    000010CC==> __vbaForEachCollObj
   地址 :    000011A0    000010D0==> __vbaForEachCollObj
   地址 :    000011A8    000010D4==> __vbaForEachCollObj
   地址 :    000011B0    000010D8==> __vbaOnError
   地址 :    000011B8    000010DC==> __vbaObjSet
   地址 :    000011C0    000010E0==> __vbaObjSet
   地址 :    000011C8    000010E4==> _adj_fdiv_m16i
   地址 :    000011D0    000010E8==> _adj_fdiv_m16i
   地址 :    000011D8    000010EC==> __vbaObjSetAddref
   地址 :    000011E0    000010F0==> _adj_fdivr_m16i
   地址 :    000011E8    000010F4==> _adj_fdivr_m16i
   地址 :    000011F0    000010F8==> __vbaVarIndexLoad
   地址 :    000011F8    000010FC==> __vbaVarIndexLoad
   地址 :    00001200    00001100==> __vbaVarIndexLoad
   地址 :    00001208    00001104==> __vbaVarIndexLoad
   地址 :    00001210    00001108==> __vbaVarIndexLoad
   地址 :    00001218    0000110C==> __vbaBoolVar
   地址 :    00001220    00001110==> __vbaBoolVar
   地址 :    00001228    00001114==> __vbaBoolVar
   地址 :    00001230    00001118==> __vbaBoolVar
   地址 :    00001238    0000111C==> __vbaBoolVar
   地址 :    00001240    00001120==> __vbaVarTstLt
   地址 :    00001248    00001124==> __vbaRefVarAry
   地址 :    00001250    00001128==> __vbaFpR8
   地址 :    00001258    0000112C==> __vbaBoolVarNull
   地址 :    00001260    00001130==> _CIsin
   地址 :    00001268    00001134==> __vbaErase
   地址 :    00001270    00001138==> __vbaVarCmpGt
   地址 :    00001278    0000113C==> __vbaVargVarMove
   地址 :    00001280    00001140==> __vbaVargVarMove
   地址 :    00001288    00001144==> __vbaNextEachCollObj
   地址 :    00001290    00001148==> __vbaLateMemStAd
   地址 :    00001298    0000114C==> __vbaChkstk
   地址 :    000012A0    00001150==> __vbaChkstk
   地址 :    000012A8    00001154==> __vbaCyVar
   地址 :    000012B0    00001158==> EVENT_SINK_AddRef
   地址 :    000012B8    0000115C==> EVENT_SINK_AddRef
   地址 :    000012C0    00001160==> __vbaGenerateBoundsError
   地址 :    000012C8    00001164==> __vbaStrCmp
   地址 :    000012D0    00001168==> __vbaAryConstruct2
   地址 :    000012D8    0000116C==> __vbaVarTstEq
   地址 :    000012E0    00001170==> __vbaDateR8
   地址 :    000012E8    00001174==> __vbaDateR8
   地址 :    000012F0    00001178==> __vbaDateR8
   地址 :    000012F8    0000117C==> __vbaObjVar
   地址 :    00001300    00001180==> __vbaPrintObj
   地址 :    00001308    00001184==> __vbaI2I4
   地址 :    00001310    00001188==> DllFunctionCall
   地址 :    00001318    0000118C==> __vbaVarLateMemSt
   地址 :    00001320    00001190==> __vbaVarOr
   地址 :    00001328    00001194==> __vbaFpUI1
   地址 :    00001330    00001198==> __vbaCastObjVar
   地址 :    00001338    0000119C==> _adj_fpatan
   地址 :    00001340    000011A0==> __vbaR4Var
   地址 :    00001348    000011A4==> __vbaLateIdCallLd
   地址 :    00001350    000011A8==> Zombie_GetTypeInfoCount
   地址 :    00001358    000011AC==> __vbaR8Cy
   地址 :    00001360    000011B0==> __vbaRedim
   地址 :    00001368    000011B4==> __vbaStrR8
   地址 :    00001370    000011B8==> EVENT_SINK_Release
   地址 :    00001378    000011BC==> __vbaNew
   地址 :    00001380    000011C0==> __vbaUI1I2
   地址 :    00001388    000011C4==> _CIsqrt
   地址 :    00001390    000011C8==> _CIsqrt
   地址 :    00001398    000011CC==> __vbaRedimVar
   地址 :    000013A0    000011D0==> __vbaVarAnd
   地址 :    000013A8    000011D4==> __vbaObjIs
   地址 :    000013B0    000011D8==> __vbaLateIdCallSt
   地址 :    000013B8    000011DC==> __vbaLateIdCallSt
   地址 :    000013C0    000011E0==> EVENT_SINK_QueryInterface
   地址 :    000013C8    000011E4==> __vbaUI1I4
   地址 :    000013D0    000011E8==> __vbaVarMul
   地址 :    000013D8    000011EC==> __vbaExceptHandler
   地址 :    000013E0    000011F0==> __vbaExceptHandler
   地址 :    000013E8    000011F4==> __vbaExceptHandler
   地址 :    000013F0    000011F8==> __vbaStrToUnicode
   地址 :    000013F8    000011FC==> __vbaStrToUnicode
   地址 :    00001400    00001200==> __vbaDateStr
   地址 :    00001408    00001204==> _adj_fprem
   地址 :    00001410    00001208==> _adj_fdivr_m64
   地址 :    00001418    0000120C==> _adj_fdivr_m64
   地址 :    00001420    00001210==> __vbaI2Str
   地址 :    00001428    00001214==> __vbaI2Str
   地址 :    00001430    00001218==> __vbaI2Str
   地址 :    00001438    0000121C==> __vbaI2Str
   地址 :    00001440    00001220==> __vbaVarCmpLe
   地址 :    00001448    00001224==> __vbaFPException
   地址 :    00001450    00001228==> __vbaInStrVar
   地址 :    00001458    0000122C==> __vbaStrCompVar
   地址 :    00001460    00001230==> __vbaStrCompVar
   地址 :    00001468    00001234==> __vbaUbound
   地址 :    00001470    00001238==> __vbaStrVarVal
   地址 :    00001478    0000123C==> __vbaVarCat
   地址 :    00001480    00001240==> __vbaDateVar
   地址 :    00001488    00001244==> __vbaCheckType
   地址 :    00001490    00001248==> __vbaI2Var
   地址 :    00001498    0000124C==> __vbaI2Var
   地址 :    000014A0    00001250==> _CIlog
   地址 :    000014A8    00001254==> __vbaErrorOverflow
   地址 :    000014B0    00001258==> __vbaVarLateMemCallLdRf
   地址 :    000014B8    0000125C==> __vbaInStr
   地址 :    000014C0    00001260==> __vbaR8Str
   地址 :    000014C8    00001264==> __vbaNew2
   地址 :    000014D0    00001268==> _adj_fdiv_m32i
   地址 :    000014D8    0000126C==> _adj_fdivr_m32i
   地址 :    000014E0    00001270==> __vbaStrCopy
   地址 :    000014E8    00001274==> __vbaI4Str
   地址 :    000014F0    00001278==> __vbaI4Str
   地址 :    000014F8    0000127C==> __vbaFreeStrList
   地址 :    00001500    00001280==> _adj_fdivr_m32
   地址 :    00001508    00001284==> __vbaR8Var
   地址 :    00001510    00001288==> _adj_fdiv_r
   地址 :    00001518    0000128C==> _adj_fdiv_r
   地址 :    00001520    00001290==> _adj_fdiv_r
   地址 :    00001528    00001294==> __vbaVarTstNe
   地址 :    00001530    00001298==> __vbaI4Var
   地址 :    00001538    0000129C==> __vbaVarCmpEq
   地址 :    00001540    000012A0==> __vbaVarAdd
   地址 :    00001548    000012A4==> __vbaLateMemCall
   地址 :    00001550    000012A8==> __vbaLateMemCall
   地址 :    00001558    000012AC==> __vbaStrToAnsi
   地址 :    00001560    000012B0==> __vbaStrComp
   地址 :    00001568    000012B4==> __vbaVarDup
   地址 :    00001570    000012B8==> __vbaVarDup
   地址 :    00001578    000012BC==> __vbaVarDup
   地址 :    00001580    000012C0==> __vbaFpI2
   地址 :    00001588    000012C4==> __vbaFpI2
   地址 :    00001590    000012C8==> __vbaCheckTypeVar
   地址 :    00001598    000012CC==> __vbaVarTstGe
   地址 :    000015A0    000012D0==> __vbaVarLateMemCallLd
   地址 :    000015A8    000012D4==> __vbaFpI4
   地址 :    000015B0    000012D8==> __vbaVarCopy
   地址 :    000015B8    000012DC==> __vbaVarSetObjAddref
   地址 :    000015C0    000012E0==> __vbaR8IntI2
   地址 :    000015C8    000012E4==> __vbaLateMemCallLd
   地址 :    000015D0    000012E8==> __vbaLateMemCallLd
   地址 :    000015D8    000012EC==> _CIatan
   地址 :    000015E0    000012F0==> __vbaI2ErrVar
   地址 :    000015E8    000012F4==> __vbaStrMove
   地址 :    000015F0    000012F8==> __vbaCastObj
   地址 :    000015F8    000012FC==> __vbaStrVarCopy
   地址 :    00001600    00001300==> __vbaStrVarCopy
   地址 :    00001608    00001304==> _allmul
   地址 :    00001610    00001308==> __vbaLateIdSt
   地址 :    00001618    0000130C==> _CItan
   地址 :    00001620    00001310==> _CItan
   地址 :    00001628    00001314==> __vbaUI1Var
   地址 :    00001630    00001318==> __vbaFPInt
   地址 :    00001638    0000131C==> __vbaAryUnlock
   地址 :    00001640    00001320==> __vbaVarForNext
   地址 :    00001648    00001324==> _CIexp
   地址 :    00001650    00001328==> __vbaFreeStr
   地址 :    00001658    0000132C==> __vbaFreeObj
   地址 :    00001660    00001330==> __vbaFreeObj
---------------------------------------------------------------

[病毒样本] 过所有杀软的毒

我的F-SCS7.0

本帖子中包含更多资源

本帖子中包含更多资源

1