[病毒样本] 1

显示全部楼层 · 发表于 2010-12-12 00:19:12

本帖最后由 sam.to 于 2010-12-12 00:24 编辑

DDD655160E4B311923C3E731E3649309

显示全部楼层 · 发表于 2010-12-12 00:35:44

2010-12-12 0:33:45 文件系统实时防护文件 C:\Documents and Settings\ym\My Documents\Downloads\VVV\VVV.ex2e Win32/KillFiles.NAX 特洛伊木马通过删除清除 - 已隔离 YM-CA11BF59519C\ym 在应用程序新建的文件上发生事件: C:\Program Files\HaoZip\HaoZip.exe.
ess杀之

显示全部楼层 · 发表于 2010-12-12 08:55:12

开始在“C:\Users\Administrator\Downloads\VVV\VVV.exe”中扫描
C:\Users\Administrator\Downloads\VVV\VVV.exe
[检测] 包含 DR/KillFiles.PR 植入程序的识别模式

显示全部楼层 · 发表于 2010-12-12 09:29:38

ess kill

2010-12-12 9:27:51 文件系统实时防护文件 C:\Documents and Settings\Administrator\桌面\VVV\VVV.ex2e Win32/KillFiles.NAX 特洛伊木马通过删除清除 - 已隔离 PC-20101118SCZM\Administrator 在应用程序新建的文件上发生事件: I:\Program Files\HaoZip\HaoZip.exe.

显示全部楼层 · 发表于 2010-12-12 12:04:06

2010-12-12 12:02:01 创建新进程允许
进程: c:\documents and settings\administrator\桌面\vvv[1]\vvv.exe
目标: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
命令行: __IRAOFF:520716 "__IRAFN:C:\Documents and Settings\Administrator\桌面\VVV[1]\VVV.exe"
规则: [应用程序组]所有程序规则-服务驱动安装规则 -> [应用程序]* -> [子应用程序]?:\?*\*setup.exe

2010-12-12 12:02:03 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\2.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:04 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\3.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:05 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\4.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:07 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\5.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:08 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\6.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:10 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\7.exe
规则: [应用程序组]4D规则-安装进程通用规则 -> [应用程序]?:\?*\*setup.exe -> [文件]*\program files\*; *.exe

2010-12-12 12:02:10 设置文件隐藏属性阻止
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_1\irsetup.exe
目标: C:\Program Files\NOD32\test.mp3
规则: [文件组]文件安全读写规则(允许创建，阻止修改、删除) -> [文件]*; *.mp3

好多衍生物

显示全部楼层 · 发表于 2010-12-12 12:06:35

to avast!

显示全部楼层 · 发表于 2010-12-12 12:29:52

恋亿晓发表于 2010-12-12 12:06
to avast!

已报:

Avast 4.8.1351.0 2010.12.11 Win32:KillFiles-DP

显示全部楼层 · 发表于 2010-12-12 12:31:58

回复 7楼 sam.to 的帖子

我这里没报啊

随便他，上报就上报了

显示全部楼层 · 发表于 2010-12-12 13:10:46

金山毒霸 Kill

显示全部楼层 · 发表于 2010-12-12 22:03:27

趨勢 : TROJ_GENERIC

[病毒样本] 1

本帖子中包含更多资源

评分