收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 感染exe+修改入口的马
返回列表 发新帖
查看: 3733|回复: 9
收起左侧

[病毒样本] 感染exe+修改入口的马

[复制链接]
qqq000@qq.com
头像被屏蔽
发表于 2007-4-26 20:22:00 | 显示全部楼层 |阅读模式
感染exe+修改入口的马


发个 挂号.exe感染


感染的程序入口  [EntryCodeData]:00182EDC
原来的程序入口  [EntryCodeData]:000064D0


要删除马部分
  4     .DL5  00197000  000051CC  00185000  00006000  E0000020
好办,不过要改回原来的 ,程序入口  [EntryCodeData]:000064D0
一不知从那取到他原来的入口值,
请高人,分析下,他把 程序入口 记录在那了


=======
---------------------------------------------------------------
挂号.exe感染
========PE格式分析==========
文件头分析【PE Headers】
      文件格式                 :unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    :192
      文件运行所要求的CPU      :Intel 80386 处理器或更高
      节数目                   :4
      文件创建的时间           :2003年8月29日8时54分51秒
      OptionalHeader 结构大小  :E0
      文件信息的标记           :10F
      标志字                   :10B
      连接器版本号             :6.0
      代码段长度               :182000
      已初始化数据块大小       :14000
      未初始化数据块大小       :0
    ★程序入口  [EntryCodeData]:00182EDC
      代码段起始   [BaseOfCode]:00001000
      数据库段起始 [BaseOfData]:00183000
    ★优先装载地址  [ImageBase]:00400000
      内存中节对齐粒度         :1000
      文件中节对齐粒度         :1000
      系统所需版本号           :4.0
      自定义版本号             :5.0
      子系统所需版本号         :4.0
      内存中PE映像体的尺寸     :19D000
      所有头+节表的大小        :1000
      校验和                   :1897F7
      文件系统                 :IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  :0
      保留栈的大小             :100000
      初始时指定栈大小         :1000
      保留堆的大小             :100000
      指定堆大小               :1000
      加载器标志               :0
      Rva数和大小              :10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  00181EEC  00001000  00182000  60000020
  2    .data  00183000  00012794  00183000  00001000  C0000040
  3    .rsrc  00196000  00000748  00184000  00001000  40000040
  4     .DL5  00197000  000051CC  00185000  00006000  E0000020
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :MSVBVM60.DLL
      地址 :      00001000     00001000==> EVENT_SINK_GetIDsOfNames
      地址 :      00001008     00001004==> __vbaVarTstGt
      地址 :      00001010     00001008==> __vbaVarSub
      地址 :      00001018     0000100C==> __vbaStrI2
      地址 :      00001020     00001010==> _CIcos
      地址 :      00001028     00001014==> _adj_fptan
      地址 :      00001030     00001018==> __vbaStrI4
      地址 :      00001038     0000101C==> __vbaVarMove
      地址 :      00001040     00001020==> __vbaVarVargNofree
      地址 :      00001048     00001024==> __vbaFreeVar
      地址 :      00001050     00001028==> __vbaLenBstr
      地址 :      00001058     0000102C==> __vbaStrVarMove
      地址 :      00001060     00001030==> __vbaLateIdCall
      地址 :      00001068     00001034==> __vbaFreeVarList
      地址 :      00001070     00001038==> __vbaEnd
      地址 :      00001078     0000103C==> _adj_fdiv_m64
      地址 :      00001080     00001040==> EVENT_SINK_Invoke
      地址 :      00001088     00001044==> __vbaVarIndexStore
      地址 :      00001090     00001048==> __vbaRaiseEvent
      地址 :      00001098     0000104C==> __vbaFreeObjList
      地址 :      000010A0     00001050==> __vbaFreeObjList
      地址 :      000010A8     00001054==> __vbaStrErrVarCopy
      地址 :      000010B0     00001058==> _adj_fprem1
      地址 :      000010B8     0000105C==> __vbaResume
      地址 :      000010C0     00001060==> __vbaVarCmpNe
      地址 :      000010C8     00001064==> __vbaStrCat
      地址 :      000010D0     00001068==> __vbaStrCat
      地址 :      000010D8     0000106C==> __vbaStrCat
      地址 :      000010E0     00001070==> __vbaStrCat
      地址 :      000010E8     00001074==> __vbaSetSystemError
      地址 :      000010F0     00001078==> __vbaStrDate
      地址 :      000010F8     0000107C==> __vbaStrDate
      地址 :      00001100     00001080==> __vbaStrDate
      地址 :      00001108     00001084==> __vbaHresultCheckObj
      地址 :      00001110     00001088==> __vbaHresultCheckObj
      地址 :      00001118     0000108C==> __vbaVargVarCopy
      地址 :      00001120     00001090==> __vbaLenVar
      地址 :      00001128     00001094==> __vbaLenVar
      地址 :      00001130     00001098==> _adj_fdiv_m32
      地址 :      00001138     0000109C==> Zombie_GetTypeInfo
      地址 :      00001140     000010A0==> __vbaVarCmpGe
      地址 :      00001148     000010A4==> __vbaAryDestruct
      地址 :      00001150     000010A8==> __vbaAryDestruct
      地址 :      00001158     000010AC==> __vbaVarIndexLoadRefLock
      地址 :      00001160     000010B0==> __vbaLateMemSt
      地址 :      00001168     000010B4==> __vbaLateMemSt
      地址 :      00001170     000010B8==> __vbaBoolStr
      地址 :      00001178     000010BC==> __vbaStrBool
      地址 :      00001180     000010C0==> __vbaVarForInit
      地址 :      00001188     000010C4==> __vbaExitProc
      地址 :      00001190     000010C8==> __vbaForEachCollObj
      地址 :      00001198     000010CC==> __vbaForEachCollObj
      地址 :      000011A0     000010D0==> __vbaForEachCollObj
      地址 :      000011A8     000010D4==> __vbaForEachCollObj
      地址 :      000011B0     000010D8==> __vbaOnError
      地址 :      000011B8     000010DC==> __vbaObjSet
      地址 :      000011C0     000010E0==> __vbaObjSet
      地址 :      000011C8     000010E4==> _adj_fdiv_m16i
      地址 :      000011D0     000010E8==> _adj_fdiv_m16i
      地址 :      000011D8     000010EC==> __vbaObjSetAddref
      地址 :      000011E0     000010F0==> _adj_fdivr_m16i
      地址 :      000011E8     000010F4==> _adj_fdivr_m16i
      地址 :      000011F0     000010F8==> __vbaVarIndexLoad
      地址 :      000011F8     000010FC==> __vbaVarIndexLoad
      地址 :      00001200     00001100==> __vbaVarIndexLoad
      地址 :      00001208     00001104==> __vbaVarIndexLoad
      地址 :      00001210     00001108==> __vbaVarIndexLoad
      地址 :      00001218     0000110C==> __vbaBoolVar
      地址 :      00001220     00001110==> __vbaBoolVar
      地址 :      00001228     00001114==> __vbaBoolVar
      地址 :      00001230     00001118==> __vbaBoolVar
      地址 :      00001238     0000111C==> __vbaBoolVar
      地址 :      00001240     00001120==> __vbaVarTstLt
      地址 :      00001248     00001124==> __vbaRefVarAry
      地址 :      00001250     00001128==> __vbaFpR8
      地址 :      00001258     0000112C==> __vbaBoolVarNull
      地址 :      00001260     00001130==> _CIsin
      地址 :      00001268     00001134==> __vbaErase
      地址 :      00001270     00001138==> __vbaVarCmpGt
      地址 :      00001278     0000113C==> __vbaVargVarMove
      地址 :      00001280     00001140==> __vbaVargVarMove
      地址 :      00001288     00001144==> __vbaNextEachCollObj
      地址 :      00001290     00001148==> __vbaLateMemStAd
      地址 :      00001298     0000114C==> __vbaChkstk
      地址 :      000012A0     00001150==> __vbaChkstk
      地址 :      000012A8     00001154==> __vbaCyVar
      地址 :      000012B0     00001158==> EVENT_SINK_AddRef
      地址 :      000012B8     0000115C==> EVENT_SINK_AddRef
      地址 :      000012C0     00001160==> __vbaGenerateBoundsError
      地址 :      000012C8     00001164==> __vbaStrCmp
      地址 :      000012D0     00001168==> __vbaAryConstruct2
      地址 :      000012D8     0000116C==> __vbaVarTstEq
      地址 :      000012E0     00001170==> __vbaDateR8
      地址 :      000012E8     00001174==> __vbaDateR8
      地址 :      000012F0     00001178==> __vbaDateR8
      地址 :      000012F8     0000117C==> __vbaObjVar
      地址 :      00001300     00001180==> __vbaPrintObj
      地址 :      00001308     00001184==> __vbaI2I4
      地址 :      00001310     00001188==> DllFunctionCall
      地址 :      00001318     0000118C==> __vbaVarLateMemSt
      地址 :      00001320     00001190==> __vbaVarOr
      地址 :      00001328     00001194==> __vbaFpUI1
      地址 :      00001330     00001198==> __vbaCastObjVar
      地址 :      00001338     0000119C==> _adj_fpatan
      地址 :      00001340     000011A0==> __vbaR4Var
      地址 :      00001348     000011A4==> __vbaLateIdCallLd
      地址 :      00001350     000011A8==> Zombie_GetTypeInfoCount
      地址 :      00001358     000011AC==> __vbaR8Cy
      地址 :      00001360     000011B0==> __vbaRedim
      地址 :      00001368     000011B4==> __vbaStrR8
      地址 :      00001370     000011B8==> EVENT_SINK_Release
      地址 :      00001378     000011BC==> __vbaNew
      地址 :      00001380     000011C0==> __vbaUI1I2
      地址 :      00001388     000011C4==> _CIsqrt
      地址 :      00001390     000011C8==> _CIsqrt
      地址 :      00001398     000011CC==> __vbaRedimVar
      地址 :      000013A0     000011D0==> __vbaVarAnd
      地址 :      000013A8     000011D4==> __vbaObjIs
      地址 :      000013B0     000011D8==> __vbaLateIdCallSt
      地址 :      000013B8     000011DC==> __vbaLateIdCallSt
      地址 :      000013C0     000011E0==> EVENT_SINK_QueryInterface
      地址 :      000013C8     000011E4==> __vbaUI1I4
      地址 :      000013D0     000011E8==> __vbaVarMul
      地址 :      000013D8     000011EC==> __vbaExceptHandler
      地址 :      000013E0     000011F0==> __vbaExceptHandler
      地址 :      000013E8     000011F4==> __vbaExceptHandler
      地址 :      000013F0     000011F8==> __vbaStrToUnicode
      地址 :      000013F8     000011FC==> __vbaStrToUnicode
      地址 :      00001400     00001200==> __vbaDateStr
      地址 :      00001408     00001204==> _adj_fprem
      地址 :      00001410     00001208==> _adj_fdivr_m64
      地址 :      00001418     0000120C==> _adj_fdivr_m64
      地址 :      00001420     00001210==> __vbaI2Str
      地址 :      00001428     00001214==> __vbaI2Str
      地址 :      00001430     00001218==> __vbaI2Str
      地址 :      00001438     0000121C==> __vbaI2Str
      地址 :      00001440     00001220==> __vbaVarCmpLe
      地址 :      00001448     00001224==> __vbaFPException
      地址 :      00001450     00001228==> __vbaInStrVar
      地址 :      00001458     0000122C==> __vbaStrCompVar
      地址 :      00001460     00001230==> __vbaStrCompVar
      地址 :      00001468     00001234==> __vbaUbound
      地址 :      00001470     00001238==> __vbaStrVarVal
      地址 :      00001478     0000123C==> __vbaVarCat
      地址 :      00001480     00001240==> __vbaDateVar
      地址 :      00001488     00001244==> __vbaCheckType
      地址 :      00001490     00001248==> __vbaI2Var
      地址 :      00001498     0000124C==> __vbaI2Var
      地址 :      000014A0     00001250==> _CIlog
      地址 :      000014A8     00001254==> __vbaErrorOverflow
      地址 :      000014B0     00001258==> __vbaVarLateMemCallLdRf
      地址 :      000014B8     0000125C==> __vbaInStr
      地址 :      000014C0     00001260==> __vbaR8Str
      地址 :      000014C8     00001264==> __vbaNew2
      地址 :      000014D0     00001268==> _adj_fdiv_m32i
      地址 :      000014D8     0000126C==> _adj_fdivr_m32i
      地址 :      000014E0     00001270==> __vbaStrCopy
      地址 :      000014E8     00001274==> __vbaI4Str
      地址 :      000014F0     00001278==> __vbaI4Str
      地址 :      000014F8     0000127C==> __vbaFreeStrList
      地址 :      00001500     00001280==> _adj_fdivr_m32
      地址 :      00001508     00001284==> __vbaR8Var
      地址 :      00001510     00001288==> _adj_fdiv_r
      地址 :      00001518     0000128C==> _adj_fdiv_r
      地址 :      00001520     00001290==> _adj_fdiv_r
      地址 :      00001528     00001294==> __vbaVarTstNe
      地址 :      00001530     00001298==> __vbaI4Var
      地址 :      00001538     0000129C==> __vbaVarCmpEq
      地址 :      00001540     000012A0==> __vbaVarAdd
      地址 :      00001548     000012A4==> __vbaLateMemCall
      地址 :      00001550     000012A8==> __vbaLateMemCall
      地址 :      00001558     000012AC==> __vbaStrToAnsi
      地址 :      00001560     000012B0==> __vbaStrComp
      地址 :      00001568     000012B4==> __vbaVarDup
      地址 :      00001570     000012B8==> __vbaVarDup
      地址 :      00001578     000012BC==> __vbaVarDup
      地址 :      00001580     000012C0==> __vbaFpI2
      地址 :      00001588     000012C4==> __vbaFpI2
      地址 :      00001590     000012C8==> __vbaCheckTypeVar
      地址 :      00001598     000012CC==> __vbaVarTstGe
      地址 :      000015A0     000012D0==> __vbaVarLateMemCallLd
      地址 :      000015A8     000012D4==> __vbaFpI4
      地址 :      000015B0     000012D8==> __vbaVarCopy
      地址 :      000015B8     000012DC==> __vbaVarSetObjAddref
      地址 :      000015C0     000012E0==> __vbaR8IntI2
      地址 :      000015C8     000012E4==> __vbaLateMemCallLd
      地址 :      000015D0     000012E8==> __vbaLateMemCallLd
      地址 :      000015D8     000012EC==> _CIatan
      地址 :      000015E0     000012F0==> __vbaI2ErrVar
      地址 :      000015E8     000012F4==> __vbaStrMove
      地址 :      000015F0     000012F8==> __vbaCastObj
      地址 :      000015F8     000012FC==> __vbaStrVarCopy
      地址 :      00001600     00001300==> __vbaStrVarCopy
      地址 :      00001608     00001304==> _allmul
      地址 :      00001610     00001308==> __vbaLateIdSt
      地址 :      00001618     0000130C==> _CItan
      地址 :      00001620     00001310==> _CItan
      地址 :      00001628     00001314==> __vbaUI1Var
      地址 :      00001630     00001318==> __vbaFPInt
      地址 :      00001638     0000131C==> __vbaAryUnlock
      地址 :      00001640     00001320==> __vbaVarForNext
      地址 :      00001648     00001324==> _CIexp
      地址 :      00001650     00001328==> __vbaFreeStr
      地址 :      00001658     0000132C==> __vbaFreeObj
      地址 :      00001660     00001330==> __vbaFreeObj
---------------------------------------------------------------
==============

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

qqq000@qq.com
头像被屏蔽
 楼主| 发表于 2007-4-26 20:23:31 | 显示全部楼层

2

1


---------------------------------------------------------------
原挂号1.exe-

========PE格式分析==========

文件头分析【PE Headers】
      文件格式                 :unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    :192
      文件运行所要求的CPU      :Intel 80386 处理器或更高
      节数目                   :3
      文件创建的时间           :2003年8月29日8时54分51秒
      OptionalHeader 结构大小  :E0
      文件信息的标记           :10F
      标志字                   :10B
      连接器版本号             :6.0
      代码段长度               :182000
      已初始化数据块大小       :14000
      未初始化数据块大小       :0
    ★程序入口  [EntryCodeData]:000064D0
      代码段起始   [BaseOfCode]:00001000
      数据库段起始 [BaseOfData]:00183000
    ★优先装载地址  [ImageBase]:00400000
      内存中节对齐粒度         :1000
      文件中节对齐粒度         :1000
      系统所需版本号           :4.0
      自定义版本号             :5.0
      子系统所需版本号         :4.0
      内存中PE映像体的尺寸     :197000
      所有头+节表的大小        :1000
      校验和                   :1897F7
      文件系统                 :IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  :0
      保留栈的大小             :100000
      初始时指定栈大小         :1000
      保留堆的大小             :100000
      指定堆大小               :1000
      加载器标志               :0
      Rva数和大小              :10

分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  00181EDC  00001000  00182000  60000020
  2    .data  00183000  00012794  00183000  00001000  C0000040
  3    .rsrc  00196000  00000748  00184000  00001000  40000040

分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :MSVBVM60.DLL
      地址 :      00001000     00001000==> EVENT_SINK_GetIDsOfNames
      地址 :      00001008     00001004==> __vbaVarTstGt
      地址 :      00001010     00001008==> __vbaVarSub
      地址 :      00001018     0000100C==> __vbaStrI2
      地址 :      00001020     00001010==> _CIcos
      地址 :      00001028     00001014==> _adj_fptan
      地址 :      00001030     00001018==> __vbaStrI4
      地址 :      00001038     0000101C==> __vbaVarMove
      地址 :      00001040     00001020==> __vbaVarVargNofree
      地址 :      00001048     00001024==> __vbaFreeVar
      地址 :      00001050     00001028==> __vbaLenBstr
      地址 :      00001058     0000102C==> __vbaStrVarMove
      地址 :      00001060     00001030==> __vbaLateIdCall
      地址 :      00001068     00001034==> __vbaFreeVarList
      地址 :      00001070     00001038==> __vbaEnd
      地址 :      00001078     0000103C==> _adj_fdiv_m64
      地址 :      00001080     00001040==> EVENT_SINK_Invoke
      地址 :      00001088     00001044==> __vbaVarIndexStore
      地址 :      00001090     00001048==> __vbaRaiseEvent
      地址 :      00001098     0000104C==> __vbaFreeObjList
      地址 :      000010A0     00001050==> __vbaFreeObjList
      地址 :      000010A8     00001054==> __vbaStrErrVarCopy
      地址 :      000010B0     00001058==> _adj_fprem1
      地址 :      000010B8     0000105C==> __vbaResume
      地址 :      000010C0     00001060==> __vbaVarCmpNe
      地址 :      000010C8     00001064==> __vbaStrCat
      地址 :      000010D0     00001068==> __vbaStrCat
      地址 :      000010D8     0000106C==> __vbaStrCat
      地址 :      000010E0     00001070==> __vbaStrCat
      地址 :      000010E8     00001074==> __vbaSetSystemError
      地址 :      000010F0     00001078==> __vbaStrDate
      地址 :      000010F8     0000107C==> __vbaStrDate
      地址 :      00001100     00001080==> __vbaStrDate
      地址 :      00001108     00001084==> __vbaHresultCheckObj
      地址 :      00001110     00001088==> __vbaHresultCheckObj
      地址 :      00001118     0000108C==> __vbaVargVarCopy
      地址 :      00001120     00001090==> __vbaLenVar
      地址 :      00001128     00001094==> __vbaLenVar
      地址 :      00001130     00001098==> _adj_fdiv_m32
      地址 :      00001138     0000109C==> Zombie_GetTypeInfo
      地址 :      00001140     000010A0==> __vbaVarCmpGe
      地址 :      00001148     000010A4==> __vbaAryDestruct
      地址 :      00001150     000010A8==> __vbaAryDestruct
      地址 :      00001158     000010AC==> __vbaVarIndexLoadRefLock
      地址 :      00001160     000010B0==> __vbaLateMemSt
      地址 :      00001168     000010B4==> __vbaLateMemSt
      地址 :      00001170     000010B8==> __vbaBoolStr
      地址 :      00001178     000010BC==> __vbaStrBool
      地址 :      00001180     000010C0==> __vbaVarForInit
      地址 :      00001188     000010C4==> __vbaExitProc
      地址 :      00001190     000010C8==> __vbaForEachCollObj
      地址 :      00001198     000010CC==> __vbaForEachCollObj
      地址 :      000011A0     000010D0==> __vbaForEachCollObj
      地址 :      000011A8     000010D4==> __vbaForEachCollObj
      地址 :      000011B0     000010D8==> __vbaOnError
      地址 :      000011B8     000010DC==> __vbaObjSet
      地址 :      000011C0     000010E0==> __vbaObjSet
      地址 :      000011C8     000010E4==> _adj_fdiv_m16i
      地址 :      000011D0     000010E8==> _adj_fdiv_m16i
      地址 :      000011D8     000010EC==> __vbaObjSetAddref
      地址 :      000011E0     000010F0==> _adj_fdivr_m16i
      地址 :      000011E8     000010F4==> _adj_fdivr_m16i
      地址 :      000011F0     000010F8==> __vbaVarIndexLoad
      地址 :      000011F8     000010FC==> __vbaVarIndexLoad
      地址 :      00001200     00001100==> __vbaVarIndexLoad
      地址 :      00001208     00001104==> __vbaVarIndexLoad
      地址 :      00001210     00001108==> __vbaVarIndexLoad
      地址 :      00001218     0000110C==> __vbaBoolVar
      地址 :      00001220     00001110==> __vbaBoolVar
      地址 :      00001228     00001114==> __vbaBoolVar
      地址 :      00001230     00001118==> __vbaBoolVar
      地址 :      00001238     0000111C==> __vbaBoolVar
      地址 :      00001240     00001120==> __vbaVarTstLt
      地址 :      00001248     00001124==> __vbaRefVarAry
      地址 :      00001250     00001128==> __vbaFpR8
      地址 :      00001258     0000112C==> __vbaBoolVarNull
      地址 :      00001260     00001130==> _CIsin
      地址 :      00001268     00001134==> __vbaErase
      地址 :      00001270     00001138==> __vbaVarCmpGt
      地址 :      00001278     0000113C==> __vbaVargVarMove
      地址 :      00001280     00001140==> __vbaVargVarMove
      地址 :      00001288     00001144==> __vbaNextEachCollObj
      地址 :      00001290     00001148==> __vbaLateMemStAd
      地址 :      00001298     0000114C==> __vbaChkstk
      地址 :      000012A0     00001150==> __vbaChkstk
      地址 :      000012A8     00001154==> __vbaCyVar
      地址 :      000012B0     00001158==> EVENT_SINK_AddRef
      地址 :      000012B8     0000115C==> EVENT_SINK_AddRef
      地址 :      000012C0     00001160==> __vbaGenerateBoundsError
      地址 :      000012C8     00001164==> __vbaStrCmp
      地址 :      000012D0     00001168==> __vbaAryConstruct2
      地址 :      000012D8     0000116C==> __vbaVarTstEq
      地址 :      000012E0     00001170==> __vbaDateR8
      地址 :      000012E8     00001174==> __vbaDateR8
      地址 :      000012F0     00001178==> __vbaDateR8
      地址 :      000012F8     0000117C==> __vbaObjVar
      地址 :      00001300     00001180==> __vbaPrintObj
      地址 :      00001308     00001184==> __vbaI2I4
      地址 :      00001310     00001188==> DllFunctionCall
      地址 :      00001318     0000118C==> __vbaVarLateMemSt
      地址 :      00001320     00001190==> __vbaVarOr
      地址 :      00001328     00001194==> __vbaFpUI1
      地址 :      00001330     00001198==> __vbaCastObjVar
      地址 :      00001338     0000119C==> _adj_fpatan
      地址 :      00001340     000011A0==> __vbaR4Var
      地址 :      00001348     000011A4==> __vbaLateIdCallLd
      地址 :      00001350     000011A8==> Zombie_GetTypeInfoCount
      地址 :      00001358     000011AC==> __vbaR8Cy
      地址 :      00001360     000011B0==> __vbaRedim
      地址 :      00001368     000011B4==> __vbaStrR8
      地址 :      00001370     000011B8==> EVENT_SINK_Release
      地址 :      00001378     000011BC==> __vbaNew
      地址 :      00001380     000011C0==> __vbaUI1I2
      地址 :      00001388     000011C4==> _CIsqrt
      地址 :      00001390     000011C8==> _CIsqrt
      地址 :      00001398     000011CC==> __vbaRedimVar
      地址 :      000013A0     000011D0==> __vbaVarAnd
      地址 :      000013A8     000011D4==> __vbaObjIs
      地址 :      000013B0     000011D8==> __vbaLateIdCallSt
      地址 :      000013B8     000011DC==> __vbaLateIdCallSt
      地址 :      000013C0     000011E0==> EVENT_SINK_QueryInterface
      地址 :      000013C8     000011E4==> __vbaUI1I4
      地址 :      000013D0     000011E8==> __vbaVarMul
      地址 :      000013D8     000011EC==> __vbaExceptHandler
      地址 :      000013E0     000011F0==> __vbaExceptHandler
      地址 :      000013E8     000011F4==> __vbaExceptHandler
      地址 :      000013F0     000011F8==> __vbaStrToUnicode
      地址 :      000013F8     000011FC==> __vbaStrToUnicode
      地址 :      00001400     00001200==> __vbaDateStr
      地址 :      00001408     00001204==> _adj_fprem
      地址 :      00001410     00001208==> _adj_fdivr_m64
      地址 :      00001418     0000120C==> _adj_fdivr_m64
      地址 :      00001420     00001210==> __vbaI2Str
      地址 :      00001428     00001214==> __vbaI2Str
      地址 :      00001430     00001218==> __vbaI2Str
      地址 :      00001438     0000121C==> __vbaI2Str
      地址 :      00001440     00001220==> __vbaVarCmpLe
      地址 :      00001448     00001224==> __vbaFPException
      地址 :      00001450     00001228==> __vbaInStrVar
      地址 :      00001458     0000122C==> __vbaStrCompVar
      地址 :      00001460     00001230==> __vbaStrCompVar
      地址 :      00001468     00001234==> __vbaUbound
      地址 :      00001470     00001238==> __vbaStrVarVal
      地址 :      00001478     0000123C==> __vbaVarCat
      地址 :      00001480     00001240==> __vbaDateVar
      地址 :      00001488     00001244==> __vbaCheckType
      地址 :      00001490     00001248==> __vbaI2Var
      地址 :      00001498     0000124C==> __vbaI2Var
      地址 :      000014A0     00001250==> _CIlog
      地址 :      000014A8     00001254==> __vbaErrorOverflow
      地址 :      000014B0     00001258==> __vbaVarLateMemCallLdRf
      地址 :      000014B8     0000125C==> __vbaInStr
      地址 :      000014C0     00001260==> __vbaR8Str
      地址 :      000014C8     00001264==> __vbaNew2
      地址 :      000014D0     00001268==> _adj_fdiv_m32i
      地址 :      000014D8     0000126C==> _adj_fdivr_m32i
      地址 :      000014E0     00001270==> __vbaStrCopy
      地址 :      000014E8     00001274==> __vbaI4Str
      地址 :      000014F0     00001278==> __vbaI4Str
      地址 :      000014F8     0000127C==> __vbaFreeStrList
      地址 :      00001500     00001280==> _adj_fdivr_m32
      地址 :      00001508     00001284==> __vbaR8Var
      地址 :      00001510     00001288==> _adj_fdiv_r
      地址 :      00001518     0000128C==> _adj_fdiv_r
      地址 :      00001520     00001290==> _adj_fdiv_r
      地址 :      00001528     00001294==> __vbaVarTstNe
      地址 :      00001530     00001298==> __vbaI4Var
      地址 :      00001538     0000129C==> __vbaVarCmpEq
      地址 :      00001540     000012A0==> __vbaVarAdd
      地址 :      00001548     000012A4==> __vbaLateMemCall
      地址 :      00001550     000012A8==> __vbaLateMemCall
      地址 :      00001558     000012AC==> __vbaStrToAnsi
      地址 :      00001560     000012B0==> __vbaStrComp
      地址 :      00001568     000012B4==> __vbaVarDup
      地址 :      00001570     000012B8==> __vbaVarDup
      地址 :      00001578     000012BC==> __vbaVarDup
      地址 :      00001580     000012C0==> __vbaFpI2
      地址 :      00001588     000012C4==> __vbaFpI2
      地址 :      00001590     000012C8==> __vbaCheckTypeVar
      地址 :      00001598     000012CC==> __vbaVarTstGe
      地址 :      000015A0     000012D0==> __vbaVarLateMemCallLd
      地址 :      000015A8     000012D4==> __vbaFpI4
      地址 :      000015B0     000012D8==> __vbaVarCopy
      地址 :      000015B8     000012DC==> __vbaVarSetObjAddref
      地址 :      000015C0     000012E0==> __vbaR8IntI2
      地址 :      000015C8     000012E4==> __vbaLateMemCallLd
      地址 :      000015D0     000012E8==> __vbaLateMemCallLd
      地址 :      000015D8     000012EC==> _CIatan
      地址 :      000015E0     000012F0==> __vbaI2ErrVar
      地址 :      000015E8     000012F4==> __vbaStrMove
      地址 :      000015F0     000012F8==> __vbaCastObj
      地址 :      000015F8     000012FC==> __vbaStrVarCopy
      地址 :      00001600     00001300==> __vbaStrVarCopy
      地址 :      00001608     00001304==> _allmul
      地址 :      00001610     00001308==> __vbaLateIdSt
      地址 :      00001618     0000130C==> _CItan
      地址 :      00001620     00001310==> _CItan
      地址 :      00001628     00001314==> __vbaUI1Var
      地址 :      00001630     00001318==> __vbaFPInt
      地址 :      00001638     0000131C==> __vbaAryUnlock
      地址 :      00001640     00001320==> __vbaVarForNext
      地址 :      00001648     00001324==> _CIexp
      地址 :      00001650     00001328==> __vbaFreeStr
      地址 :      00001658     0000132C==> __vbaFreeObj
      地址 :      00001660     00001330==> __vbaFreeObj
---------------------------------------------------------------
回复

举报

qqq000@qq.com
头像被屏蔽
 楼主| 发表于 2007-4-26 20:23:49 | 显示全部楼层

s

[病毒提取者]
网名=咕咚
QQ=1283389
[病毒库文件]
文件=20070426_1283389_0002.axx
病毒数=0002
时间=20070426_1283389
[病毒列表]
维金
回复

举报

tracydk
发表于 2007-4-26 20:24:47 | 显示全部楼层
样本呢??
回复

举报

qqq000@qq.com
头像被屏蔽
 楼主| 发表于 2007-4-26 20:51:22 | 显示全部楼层
原帖由 tracydk 于 2007-4-26 07:24 发表
样本呢??

挂号.exe感染.rar (298.47 KB)这个
回复

举报

欠妳緈諨
发表于 2007-4-26 21:23:58 | 显示全部楼层
NOD32蜘蛛过
回复

举报

夜之幻想
发表于 2007-4-26 22:00:30 | 显示全部楼层
红伞p,avg都挂了
回复

举报

tracydk
发表于 2007-4-26 22:08:49 | 显示全部楼层
Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00036101.




We received the following archive files:


File ID  Filename  Size (Byte) Result
278550   298.47 KB OK
278552   288.59 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename  Size (Byte) Result
278551  ####.exe####  1.54 MB  MALWARE
278553  ####1.exe-  1.52 MB  CLEAN


Please find a detailed report concerning each individual sample below:

Filename Result  ####.exe####  MALWARE

The file '####.exe####' has been determined to be 'MALWARE'. Our analysts named the threat TR/Hijack.Explor.2765. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 6.38.01.47.
Filename Result  ####1.exe-  CLEAN

The file '####1.exe-' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
回复

举报

chow2006
发表于 2007-4-27 01:02:48 | 显示全部楼层
过费尔
回复

举报

scottxzt
发表于 2007-4-27 15:48:31 | 显示全部楼层
Begin scan in 'D:\Documents and Settings\dell\桌面\新建文件夹 (2)'
D:\Documents and Settings\dell\桌面\新建文件夹 (2)\挂号[1].exe感染.rar
  [0] Archive type: RAR
  --> ¹ÒºÅ.exe¸ÐȾ
      [DETECTION] Is the Trojan horse TR/Hijack.Explor.2765
      [INFO]      The file was deleted!
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-11 19:51 , Processed in 0.133204 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表