过卡巴~~~~~

显示全部楼层 · 发表于 2010-12-11 03:29:40

本帖最后由 zst470396853 于 2010-12-11 03:50 编辑

第一个样本过卡巴第二个过大多数杀软  2个样本小红伞都杀


这个样本是感染QQ的样本  他会替换你的CPHelper.dll,  使其加载时加载病毒dll文件
PS 过很多杀软(已经上报数字我测试的时候数字网盾未知 360杀毒2.0不杀)

这个也过很多杀软(卡巴报)

下面的样本过金山

显示全部楼层 · 发表于 2010-12-11 07:33:34

avast! kill 1
Win32:Malware-gen (0)
to avast!

显示全部楼层 · 发表于 2010-12-11 07:34:21

ess kill4个，1个为损坏的文件，无法运行，另外3个不是病毒啊，

D:\下载文件夹\SG.rar > RAR > SG\新热血v1.19.exe - Win32/Packed.FlyStudio.P.Gen 潜在的不受欢迎应用程序
D:\下载文件夹\SG.rar > RAR > SG\老热血v1.19.exe - Win32/Packed.FlyStudio.P.Gen 潜在的不受欢迎应用程序
D:\下载文件夹\test.rar > RAR > test\Txp1atform.exe - Win32/VB.PLI 特洛伊木马的变种
D:\下载文件夹\test.rar > RAR > test\Uninstall.exe > NSIS > script.nsi - Win32/Adware.Zhongsou 应用程序
D:\下载文件夹\病毒.rar > RAR > 病毒\Play.dat - 可能是 Win32/Agent.FQLAASY 特洛伊木马的变种

http://camas.comodo.com/cgi-bin/ ... 2d6d92f3c6591969440

http://camas.comodo.com/cgi-bin/ ... c1a7390f529b393c7d4

http://camas.comodo.com/cgi-bin/ ... 04c27149844d06fb424

http://camas.comodo.com/cgi-bin/ ... 7130e2aa62c5d8b7f26

显示全部楼层 · 发表于 2010-12-11 09:52:19

AVG Kll 3x
"";"D:\temp\Samples\Setup\SG\新热血v1.19.exe";"特洛伊木马 Generic2_c.AHHA";"已感染"
"";"D:\temp\Samples\Setup\test\Txp1atform.exe";"特洛伊木马 Generic20.MJR";"已感染"
"";"D:\temp\Samples\Setup\病毒\Play.dat";"广告软件 Generic.TCA";"有潜在危险的对象"

显示全部楼层 · 发表于 2010-12-11 10:22:13

2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\imm32.dll C:\WINDOWS\system32\imm32.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\Program Files\Common Files\Kingsoft\kiscommon\security\ksde\kisdcom.dll C:\Program Files\Common Files\Kingsoft\kiscommon\security\ksde\kisdcom.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\uxtheme.dll C:\WINDOWS\system32\uxtheme.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\MSCTF.dll C:\WINDOWS\system32\MSCTF.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\MSCTFIME.IME C:\WINDOWS\system32\MSCTFIME.IME
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\ole32.dll C:\WINDOWS\system32\ole32.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll
2010-12-11 18:20:11 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\MSCTF.dll C:\WINDOWS\system32\MSCTF.dll
2010-12-11 18:20:14 D:\SG\SG\老热血v1.19.exe加载库文件C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll
2010-12-11 18:20:14 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\MSCTF.dll C:\WINDOWS\system32\MSCTF.dll
2010-12-11 18:20:16 D:\SG\SG\老热血v1.19.exe加载库文件C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll C:\Program Files\Common Files\Kingsoft\kiscommon\kwsui.dll
2010-12-11 18:20:16 D:\SG\SG\老热血v1.19.exe加载库文件C:\WINDOWS\system32\MSCTF.dll C:\WINDOWS\system32\MSCTF.dll
2010-12-11 18:20:17 结束进程D:\SG\SG\老热血v1.19.exe D:\SG\SG\老热血v1.19.exe

显示全部楼层 · 发表于 2010-12-11 10:36:08

SG
开始在“C:\Users\Administrator\Downloads\SG.rar”中扫描
C:\Users\Administrator\Downloads\SG.rar
[0] 存档类型: RAR
  [检测]       是 TR/Agent.73216.L 特洛伊木马
  --> SG\￐ￂ￈￈￑ﾪv1.19.exe
[1] 存档类型: FLY
--> Object
  [检测]       是 TR/Agent.73216.L 特洛伊木马
  --> SG\￀ￏ￈￈￑ﾪv1.19.exe
[1] 存档类型: FLY
--> Object
  [检测]       是 TR/Agent.73216.L 特洛伊木马

病毒
开始在“C:\Users\Administrator\Downloads\病毒.rar”中扫描
C:\Users\Administrator\Downloads\病毒.rar
[0] 存档类型: RAR
  [检测]       是 TR/Agent.635392.C 特洛伊木马
--> ﾲﾡﾶﾾ\Play.dat
  [检测]       是 TR/Agent.635392.C 特洛伊木马

setup，JMS过红伞
test
开始在“C:\Users\Administrator\Downloads\test.rar”中扫描
C:\Users\Administrator\Downloads\test.rar
[0] 存档类型: RAR
  [检测]       包含 DR/Agent.bbxd 植入程序的识别模式
--> test\001.exe
  [检测]       包含 DR/Agent.bbxd 植入程序的识别模式
--> test\91.exe
  [检测]       包含 DR/MicroFake.CC 植入程序的识别模式
--> test\tmp.exe
  [检测]       包含 DR/Dldr.Nekill.DY 植入程序的识别模式
--> test\Txp1atform.exe
  [检测]       是 TR/Dropper.Gen 特洛伊木马

显示全部楼层 · 发表于 2010-12-11 11:27:31

SG:
无法打开
病毒：
2010-12-11 11:23:32 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\病毒\病毒\uninst.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2010-12-11 11:23:32 创建文件阻止
进程: c:\documents and settings\administrator\桌面\病毒\病毒\uninst.exe
目标: C:\WINDOWS\wininit.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; wininit.ini

2010-12-11 11:23:36 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\病毒\病毒\uninst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:23:37 创建新进程阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: c:\documents and settings\administrator\local settings\temp\nsw7.tmp\ns8.tmp
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw7.tmp\ns8.tmp" C:\Documents and Settings\Administrator\桌面\病毒\病毒\uninstall.cmd
规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [子应用程序]*temp\*.tmp

2010-12-11 11:23:39 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\病毒\病毒\stormupd.dll
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.dll

2010-12-11 11:23:40 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\病毒\病毒\uninst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:23:40 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\病毒\病毒\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2010-12-11 11:23:40 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\WINDOWS\wininit.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; wininit.ini

setup:
2010-12-11 11:24:41 创建文件阻止并结束进程
进程: c:\documents and settings\administrator\桌面\setup\setup.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\AppShell\DllStub.dll
规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.dll

test:
2010-12-11 11:25:21 创建新进程阻止
进程: c:\windows\system32\ntvdm.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2010-12-11 11:25:26 创建新进程阻止
进程: c:\windows\system32\ntvdm.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2010-12-11 11:25:31 创建新进程阻止
进程: c:\windows\system32\ntvdm.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2010-12-11 11:25:37 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\test\test\uninstall.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2010-12-11 11:25:37 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\test\uninstall.exe
目标: C:\WINDOWS\wininit.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; wininit.ini

2010-12-11 11:25:37 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\test\test\uninstall.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~nsu.tmp
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2010-12-11 11:25:37 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\test\uninstall.exe
目标: C:\WINDOWS\wininit.ini
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; wininit.ini

2010-12-11 11:25:44 创建新进程阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\WINDOWS\system32\regsvr32.exe" /s /u "C:\Documents and Settings\Administrator\桌面\test\test\IETimbar.dll"
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\regsvr32.exe

2010-12-11 11:25:44 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\Uninstall.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:25:45 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\001.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:25:46 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\91.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:25:46 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\tmp.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:25:47 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\Txp1atform.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2010-12-11 11:25:47 删除文件阻止
进程: c:\documents and settings\administrator\local settings\temp\~nsu.tmp\au_.exe
目标: C:\Documents and Settings\Administrator\桌面\test\test\Uninstall.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

显示全部楼层 · 发表于 2010-12-11 11:42:18

Kaspersky Internet Security 2011，
掃瞄偵測為{Backdoor.Win32.Agent.bbxd、Trojan.PHP.Agent.ax、Trojan.Win32.MicroFake.cc、Trojan-Downloader.Win32.Nekill.dy、Trojan-PSW.Win32.QQPass.zey}，
已進行隔離/刪除動作。

掃瞄偵測到5個可疑檔案，--個 Kaspersky Cloud，--個啟發，5個特徵碼，一隻病毒一條特徵碼，傻眼，囧rz，
剩餘9個文件MISS，無威脅可疑，已提交至 Kaspersky。

显示全部楼层 · 发表于 2010-12-11 11:48:09

VirSCAN.org Scanned Report :
Scanned time : 2010/12/11 09:00:35 (CST)
Scanner results: 56%的杀软(20/36)报告发现病毒
File Name    : 病毒.rar
File Size    : 308721 byte
File Type    : RAR archive data, v1d, os
MD5          : 768d28ab39af1e604570c7633b56e127
SHA1          : b92c1be8fba1848bdba26c387ddcb66a8af873f9
Online report  : http://virscan.org/report/768422df640b1c455bc2987c05547b97.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    5.1.0.1       20101211031508 2010-12-11  14.29  Backdoor.Win32.Hupigon!IK
安博士V3    2010.12.09.00 2010.12.09       2010-12-09  2.50 -
AntiVir       8.2.4.122    7.10.14.255    2010-12-10  0.30 TR/Agent.635392.C
安天          2.0.18       20101207.6186214  2010-12-07  0.02 -
Arcavir       2010          201012110826    2010-12-11  0.19 Trojan.Downloader
Authentium    5.1.1          201012101440    2010-12-10  5.67 W32/Downloader.AYSE (Exact)
AVAST!       4.7.4          101210-1       2010-12-10  0.07 -
AVG          8.5.850       271.1.1/3299    2010-12-06  1.21 Generic.TCA
BitDefender 7.90123.6395990 7.35015          2010-12-11  6.20 -
ClamAV       0.96.3       12375          2010-12-11  0.20 Trojan.Downloader-5253
Comodo       4.0          7018             2010-12-10  1.09 TrojWare.Win32.PSW.Banker.~EK
CP Secure    1.3.0.5       2010.12.10       2010-12-10  0.24 -
Dr.Web       5.0.2.3300    2010.12.11       2010-12-11  10.20  Trojan.DownLoader.58298
F-Prot       4.4.4.56       20101210       2010-12-10  5.73 W32/Downloader.AYSE (exact)
F-Secure    7.02.73807    2010.12.10.13    2010-12-10  13.80  -
飞塔          4.2.254       12.656          2010-12-10  0.74 W32/Hupigon.KDNI!tr.bdr
GData       21.1260/21.534  20101210       2010-12-10  9.17 -
ViRobot       20101210       2010.12.10       2010-12-10  0.43 -
Ikarus       T3.1.32.15.0 2010.12.10.77329  2010-12-10  5.68 Trojan-Dropper.Agent
江民杀毒    13.0.900       2010.11.30       2010-11-30  3.55 -
卡巴斯基    5.5.10       2010.12.10       2010-12-10  0.38 -
金山毒霸    2009.2.5.15    2010.12.10.18    2010-12-10  1.30 -
迈克菲       5400.1158    6193             2010-12-10  19.09  Generic.dx
Microsoft    1.6402       2010.12.11       2010-12-11  23.46  -
Norman       6.06.11       6.06.00          2010-12-07  10.01  W32/BankStolen.A
熊猫卫士    9.05.01       2010.12.10       2010-12-10  6.23 Generic Malware
趋势科技    9.120-1004    7.692.14       2010-12-10  0.08 -
Quick Heal    11.00          2010.12.09       2010-12-09  1.07 Trojan.Agent.ATV
瑞星          20.0          22.77.03.08    2010-12-09  2.66 Trojan.Win32.Generic.52470B87
Sophos       3.14.1       4.60             2010-12-11  3.17 Mal/Generic-L
Sunbelt       3.9.2459.2    7596             2010-12-10  3.70 Trojan.Win32.Generic!BT
赛门铁克    1.3.0.24       20101210.002    2010-12-10  0.26 -
nProtect    20101210.01    9299033          2010-12-10  35.90  -
The Hacker    6.7.0.1       v00098          2010-12-10  0.56 Backdoor/Hupigon.kyru
VBA32       3.12.14.2    20101210.1339    2010-12-10  5.07 Trojan.DownLoader.58298
VirusBuster 4.5.11.10    10.130.42/2008276 2010-12-09  6.00 -

显示全部楼层 · 发表于 2010-12-11 14:36:26

第一个：SG:MISS；
第二个：
病毒\stormupd.dll infected with Trojan.DownLoader.18487
病毒\Play.dat infected with Trojan.DownLoader.58298
第三个：setup，也MISS；
第四个：JMS，也MISS；
第五个：
test\Txp1atform.exe found virus Trojan.Siggen2.11085
test\Uninstall.exe - archive NSIS

三个已上报

[病毒样本] 过卡巴~~~~~

本帖子中包含更多资源

评分

评分