b[1].exe

显示全部楼层 · 发表于 2010-12-16 22:37:28

b[1].exe

http://www.virustotal.com/file-scan/report.html?id=8f2e3ee8669ed7ec4758b718b6919da97adabdeaf62e7cc2546eec0b5e8e1509-1292509877

显示全部楼层 · 发表于 2010-12-16 22:41:47

下载文件：b[1].rar
木马名称：Win32.Troj.Undef.(kcloud)...
这个木马可能破坏您的电脑系统，窃取账号密码

保存路径：C:\Users\SB\Desktop
下载工具：谷歌浏览器

显示全部楼层 · 发表于 2010-12-16 22:56:24

Kaspersky Internet Security 2011，
掃瞄偵測為{HEUR:Trojan-Downloader.Win32.Generic}，
已進行隔離/刪除動作。

掃瞄偵測到1個可疑檔案，--個 Kaspersky Cloud，1個啟發，--個特徵碼，一隻病毒一條特徵碼，傻眼，囧rz，
剩餘--個文件MISS，無威脅可疑，已提交至 Kaspersky。

显示全部楼层 · 发表于 2010-12-16 23:13:39

avast 表示毫无压力
2010-12-16 23:11:30 http://bbs.kafan.cn/forum-attach ... UwMTU3OQ%3D%3D.html|>b[1].exe|>nsis.hdr [L] NSIS:Downloader-FW [Trj] (0)

显示全部楼层 · 发表于 2010-12-16 23:22:28

2010-12-16 23:18:56 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\viurs test\b[1]\b[1].exe
命令行: "D:\我的文档\viurs test\b[1]\b[1].exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2010-12-16 23:19:04 创建文件允许
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsy53.tmp\nsRandom.dll
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.dll

2010-12-16 23:19:07 创建文件允许
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsy53.tmp\InetLoad.dll
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.dll

2010-12-16 23:19:10 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:11 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:12 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:17 创建文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\WINDOWS\system32\7zip.dll
规则: [文件组]系统核心目录Ⅰ -> [文件]c:\windows\*; *.dll

2010-12-16 23:19:17 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:17 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:18 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:18 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:19 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:19 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:19 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:21 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:21 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:22 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:25 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:25 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:27 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:43 创建文件允许
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1240.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.exe

2010-12-16 23:19:43 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:44 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:46 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:46 修改文件阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2010-12-16 23:19:48 修改注册表值阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:19:57 创建新进程阻止
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: c:\documents and settings\administrator\local settings\temp\1240.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1240.exe
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]?:\documents and settings\*\local settings\temp\*

2010-12-16 23:20:00 删除文件允许
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsy53.tmp\nsRandom.dll
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.dll

2010-12-16 23:20:01 删除文件允许
进程: d:\我的文档\viurs test\b[1]\b[1].exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsy53.tmp\InetLoad.dll
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.dll

显示全部楼层 · 发表于 2010-12-16 23:24:17

2010-12-16 23:22:02 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\1240.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-16 23:22:05 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\1240.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\_uninsep.bat
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.bat

显示全部楼层 · 发表于 2010-12-16 23:25:26

本帖最后由猪头大队于 2010-12-16 23:27 编辑

360网盾报毒
A2：无视
红伞无视，上报

我们收到了以下存档文件:

文件 ID	文件名	大小(字节)	结果
25986628	b[1].rar	45.34 KB	OK

以下位置提供了存档中包含的文件及其结果的列表:

文件 ID	文件名	大小(字节)	结果
25985943	b[1].exe	58.37 KB	MALWARE

下面提供了与每个样本相关的详细报告:

文件名	结果
b[1].exe	MALWARE

已确定“b[1].exe”文件是“MALWARE”。
我们的分析人员将这种威胁命名为“TR/Dldr.Agent.HC”。术语“TR/”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。通过接下来的某次更新，我们的病毒定义文件(VDF)中将添加这项检测。

显示全部楼层 · 发表于 2010-12-16 23:32:15

avira miss

2010/12/16 23:27:07 创建文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\nsc6129.tmp\nsRandom.dll
规则: [应用程序]* -> [文件]c:\users\*\appdata\*\temp\*.tmp; *.dll

2010/12/16 23:27:13 创建文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\nsc6129.tmp\InetLoad.dll
规则: [应用程序]* -> [文件]c:\users\*\appdata\*\temp\*.tmp; *.dll

2010/12/16 23:27:22 创建文件阻止
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\WINDOWS\system32\7zip.dll
规则: [文件组][A]所有执行文件 -> [文件]*; *.dll

2010/12/16 23:27:35 访问网络阻止
进程: d:\病毒测试\b[1]\b[1].exe
目标: TCP [本机 : 54064] -> [68.68.101.252 : 80 (http)]
规则: [应用程序]* -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010/12/16 23:28:11 创建文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\9925.exe
规则: [文件组][A]所有执行文件 -> [文件]*; *.exe

2010/12/16 23:28:14 访问网络阻止
进程: d:\病毒测试\b[1]\b[1].exe
目标: TCP [本机 : 54072] -> [68.68.101.252 : 80 (http)]
规则: [应用程序]* -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010/12/16 23:28:22 删除文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\9925.exe
规则: [文件组][A]所有执行文件 -> [文件]*; *.exe

2010/12/16 23:28:28 删除文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\nsc6129.tmp\InetLoad.dll
规则: [应用程序]* -> [文件]c:\users\*\appdata\*\temp\*.tmp; *.dll

2010/12/16 23:28:31 删除文件允许
进程: d:\病毒测试\b[1]\b[1].exe
目标: C:\Users\listen\AppData\Local\Temp\nsc6129.tmp\nsRandom.dll
规则: [应用程序]* -> [文件]c:\users\*\appdata\*\temp\*.tmp; *.dll

显示全部楼层 · 发表于 2010-12-16 23:54:36

listen1 发表于 2010-12-16 23:32
avira miss

乃的HIPS是MD、EQ还是毛豆

显示全部楼层 · 发表于 2010-12-17 00:04:02

猪头大队发表于 2010-12-16 23:54
乃的HIPS是MD、EQ还是毛豆

MD来的

[可疑文件] b[1].exe

本帖子中包含更多资源

评分

评分

浏览过的版块