scan.vbe

显示全部楼层 · 发表于 2010-12-12 19:48:12

大蜘蛛：scan.vbe infected with Trojan.KillAV.41

显示全部楼层 · 发表于 2010-12-12 21:51:15

已上報趨勢~

显示全部楼层 · 发表于 2010-12-12 22:18:32

本帖最后由猪头大队于 2010-12-12 22:19 编辑

360网盾报毒
红伞启发，上报
开始在“C:\Users\Administrator\Downloads\scan.rar”中扫描C:\Users\Administrator\Downloads\scan.rar
[0] 存档类型: RAR
[检测] 包含 HEUR/HTML.Malware 可疑代码
--> scan.vbe
[检测] 包含 HEUR/HTML.Malware 可疑代码

显示全部楼层 · 发表于 2010-12-13 10:48:02

呵呵，如何演试病毒啊。。。。。。

显示全部楼层 · 发表于 2010-12-13 21:25:30

过微点和OA 貌似OA对vbe文件不怎么给力啊

显示全部楼层 · 发表于 2010-12-13 22:52:19

微点套金山卫士木有报

显示全部楼层 · 发表于 2010-12-14 17:07:46

to avast!

显示全部楼层 · 发表于 2010-12-14 17:24:59

分析表示这个vbs有问题......

有多个敏感操作..... 包括关联主页等等
明显使用代码变换的形式，如对主页的修改，代码中注册表键值不是直接写而是“("HKEY_CURR"&"ENT_USER\Softwar"&"e\Micros"&"oft\Intern"&"et Explore"&"r\Ma"&"in\Sta"&"rt Pa"&"ge")”形式
综合来看这个脚本具备修改主页篡改文件关联桌面图标等操作，属于恶意类脚本
同时，修复方法只要参照其添加对应删除即可
由于脚本权限的限制，该文件运行后底层类工具均可处理，同时win 自带的taskkill或 ntsd 亦可以终止其运行

显示全部楼层 · 发表于 2010-12-14 17:28:49

360kill

显示全部楼层 · 发表于 2010-12-14 17:29:58

ghfujianbin 发表于 2010-12-13 21:25
过微点和OA 貌似OA对vbe文件不怎么给力啊

OA？运行么～还是oa++的扫描？

[病毒样本] scan.vbe