可疑文件，自己电脑上面的，BD没报警

显示全部楼层 · 发表于 2007-5-16 22:06:20

C:\Users\Elvis\Desktop\jvxnypf.zip=>jvxnypf.exe Infected: Trojan.Downloader.Small.ZZR
C:\Users\Elvis\Desktop\jvxnypf.zip=>jvxnypf.exe Disinfection failed
C:\Users\Elvis\Desktop\jvxnypf.zip Moved
C:\Users\Elvis\Desktop\kndncso.zip=>kndncso.exe Infected: Trojan.Downloader.Small.ZZR
C:\Users\Elvis\Desktop\kndncso.zip=>kndncso.exe Disinfection failed
C:\Users\Elvis\Desktop\kndncso.zip Moved
C:\Users\Elvis\Desktop\meex.zip=>meex.com Infected: Trojan.Downloader.Small.ZZR
C:\Users\Elvis\Desktop\meex.zip=>meex.com Disinfection failed
C:\Users\Elvis\Desktop\meex.zip Moved
上报几小时后，BD终于报了

显示全部楼层 · 发表于 2007-5-16 22:52:40

Starting the file scan:

Begin scan in 'C:\Documents and Settings\morgan\My Documents\kndncso.zip'
C:\Documents and Settings\morgan\My Documents\
  kndncso.zip
[0] Archive type: ZIP
--> kndncso.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSAnti.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [INFO]    The file was deleted!
Begin scan in 'C:\Documents and Settings\morgan\My Documents\jvxnypf.zip'
C:\Documents and Settings\morgan\My Documents\
  jvxnypf.zip
[0] Archive type: ZIP
--> jvxnypf.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSAnti.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [INFO]    The file was deleted!
Begin scan in 'C:\Documents and Settings\morgan\My Documents\meex.zip'
C:\Documents and Settings\morgan\My Documents\
  meex.zip
[0] Archive type: ZIP
--> meex.com
      [DETECTION] Is the Trojan horse TR/Crypt.NSAnti.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-5-16 23:32:10

费尔全报木马

显示全部楼层 · 发表于 2007-5-17 01:08:37

[原创]病毒分析报告：meex.com2007-05-17 00:59病毒名称：meex.com

病毒大小：36,220 字节

加壳方式：未知〔不明物〕

脱壳大小：120,320 字节

编写语言：ｄｅｌｐｈｉ

SHA-160    : F9FBB9F80AF2364FB791F5A6DFBD407C409157B1
MD5          : FD5D245329B8D4520C88F42B1A0F4694
RIPEMD-160 : E78BAB6E5EB58BA67E528474B2463798ECF00874
CRC-32       : 711C4B9A

文章作者：G-AVR[孤单每一天]

文章地址：http://hi.baidu.com/renlangliu/b ... 7e0ed2fd1f10c6.html

测试平台：ＯＤ　ＩＤＡ　ｗｉｎｘｐｓｐ２

rnkb0:004062FC s_ShellAutoCo_2 db 'shell\Auto\command=',0 ; DATA XREF: sub_405FB8+204 o

rnkb0:00406590 s_Open_0       db 'open',0             ; DATA XREF: sub_40647C+B8 o

rnkb0:00406470 s_Meex_com       db 'meex.com',0          ; DATA XREF: sub_406310+D1 o

//写autorun.inf文件指向'meex.com'

rnkb0:00406688 ; char WindowName[]
rnkb0:00406688 WindowName       db '瑞星注册表监控提示',0 ; DATA XREF: sub_4065A4+4 o
rnkb0:0040669B                align 4
rnkb0:0040669C ; char ClassName[]
rnkb0:0040669C ClassName       db '#32770',0          ; DATA XREF: sub_4065A4+9 o
rnkb0:004066A3                align 4

rnkb0:00406733                align 4
rnkb0:00406734 ; char s_PPI[]
rnkb0:00406734 s_PPI          db '主动防御警报',0    ; DATA XREF: sub_4066A4+4 o
rnkb0:00406742                align 4
rnkb0:00406744 ; char s_Avp_alertdial[]
rnkb0:00406744 s_Avp_alertdial db 'AVP.AlertDialog',0 ; DATA XREF: sub_4066A4+9 o
rnkb0:00406754 ; char s_A[]
rnkb0:00406754 s_A             db '允许',0             ; DATA XREF: sub_4066A4+65 o
rnkb0:00406759                align 4
rnkb0:0040675C ; char s_Avp_button[]
rnkb0:0040675C s_Avp_button    db 'AVP.Button',0       ; DATA XREF: sub_4066A4+6A o
rnkb0:00406767                align 4
rnkb0:00406768                db 0FFh,0FFh,0FFh,0FFh,7,0
rnkb0:0040676E                align 10h

//使用FindWindowExA 、GetWindowRect、GetMessageA、SendMessageA、mouse_event 、等函数查找窗口、获取坐标、获取消息、反馈消息设置光标位置这种卑劣的映射的方法关闭瑞星和卡巴的主动防御

rnkb0:00406770 s_Ras_exe       db 'Ras.exe',0
rnkb0:00406778                db 0FFh,0FFh,0FFh,0FFh,7,0
rnkb0:0040677E                align 10h
rnkb0:00406780 s_Avp_com       db 'avp.com',0
rnkb0:00406788                db 0FFh,0FFh,0FFh,0FFh,7,0
rnkb0:0040678E                align 10h
rnkb0:00406790 s_Avp_exe       db 'avp.exe',0
rnkb0:00406798                db 0FFh,0FFh,0FFh,0FFh,0Ah,0
rnkb0:0040679E                align 10h
rnkb0:004067A0 s_Runiep_exe    db 'runiep.exe',0
rnkb0:004067AB                align 4
rnkb0:004067AC                db 0FFh,0FFh,0FFh,0FFh,7,0
rnkb0:004067B2                align 4
rnkb0:004067B4 s_Pfw_exe       db 'PFW.exe',0

rnkb0:004072D4 s_SoftwareMic_2 db 'Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\',0

rnkb0:00407320 s_Debugger       db 'Debugger',0

//尝试结束一下进程并作映象劫持

rnkb0:00407234 s_SoftwareMic_1 db 'Software\Microsoft\Windows\CurrentVersion\Run',0

//写注册表启动项

rnkb0:00407268 s_Checkedvalue db 'CheckedValue',0    ; DATA XREF: sub_4070CC+B5 o
rnkb0:00407275                align 4
rnkb0:00407278 s_SoftwareMicro db 'software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall',0

//屏蔽隐藏文件显示

rnkb0:0040742C s_HttpWww_webwe db 'http://www.webweb.com/TDown1.exe',0

//使用urldownloadtofileA函数下载其他病毒程序

rnkb0:00407EB8 ; char s_StopSharedacc[]
rnkb0:00407EB8 s_StopSharedacc db 'stop SharedAccess',0 ; DATA XREF: sub_407D1C+1C o
rnkb0:00407ECA                align 4
rnkb0:00407ECC ; char File[]
rnkb0:00407ECC File             db 'net.exe',0          ; DATA XREF: sub_407D1C+21 o
rnkb0:00407ED4 ; char s_Open_11[]
rnkb0:00407ED4 s_Open_11       db 'open',0             ; DATA XREF: sub_407D1C+26 o
rnkb0:00407ED4                                        ; sub_407D1C+40 o
rnkb0:00407ED9                align 4

//使用net stop命令关闭sharedaccess服务

rnkb0:00407EDC ; char s_ConfigShareda[]
rnkb0:00407EDC s_ConfigShareda db 'config SharedAccess start= disabled',0
rnkb0:00407EDC                                        ; DATA XREF: sub_407D1C+36 o
rnkb0:00407F00 ; char s_Sc_exe[]
rnkb0:00407F00 s_Sc_exe       db 'sc.exe',0          ; DATA XREF: sub_407D1C+3B o

//使用sc config命令将sharedaccess服务设置为禁用

rnkb0:00408D50                call    DeleteFileA　

//删除自身

显示全部楼层 · 发表于 2007-5-17 01:25:45

红伞和AVK2006全灭

显示全部楼层 · 发表于 2007-5-17 03:39:56

NSAnti

显示全部楼层 · 发表于 2007-5-17 07:01:04

----------
[凝逸反毒] (http://hi.baidu.com/503165656)

[凝逸.扫描病毒引擎-日志] 2007.5.17 7:0:42

文件:F:\070516\鸽子鸽子\学生妹破处全过程\jvxnypf.exe | 感染:木马 [75>20070515_114522_0083.axx]3
操作:删除文件

文件:F:\070516\鸽子鸽子\学生妹破处全过程\kndncso.exe | 感染:木马 [75>20070515_114522_0083.axx]3
操作:删除文件

文件:F:\070516\鸽子鸽子\学生妹破处全过程\meex.com | 感染:木马 [75>20070515_114522_0083.axx]3
操作:删除文件

扫描完成|病毒:3 文件:4|耗时:651
----------

显示全部楼层 · 发表于 2007-5-17 15:40:28

木马名称:Trojan-Downloader.Win32.Small.jna
程序:
I:\TEST\070516\26\JVXNYPF\JVXNYPF.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
木马名称:Trojan-Downloader.Win32.Small.jna
程序:
I:\TEST\070516\26\KNDNCSO\KNDNCSO.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
木马名称:Trojan-Downloader.Win32.Small.jna
程序:
I:\TEST\070516\26\MEEX\MEEX.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?

显示全部楼层 · 发表于 2007-5-19 18:42:23

三个相同的文件

显示全部楼层 · 发表于 2007-5-20 11:40:35

原帖由 绅博周幸 于 2007-5-17 03:39 发表
NSAnti

，看这表情。。。

[病毒样本] 可疑文件，自己电脑上面的，BD没报警

微点报已知