几个2011年薪病毒

显示全部楼层 · 发表于 2011-1-3 16:39:46

NOD 32 直接隔离了

显示全部楼层 · 发表于 2011-1-3 16:53:14

回复 3楼 5364721 的帖子

金山网盾已经报了

显示全部楼层 · 发表于 2011-1-3 16:54:22

本帖最后由 solstice1988 于 2011-1-3 16:59 编辑

金山毒霸KILL 1个，剩余上报

样本名称：hhs.exe

文件MD5：8609d5ec9bc96049c9c631c0d1101793

鉴定结果：

安全

样本名称：regjpwb.exe

文件MD5：adfa21fd005fb0040750b7eec78a0d5d

鉴定结果：

安全

样本名称：regjpwb.bat

文件MD5：5b848212ccb767e3ee7039ebeac0fe62

鉴定结果：

该文件不是Windows可执行文件

样本名称：Environment.bat

文件MD5：9b928eb713243194f8306f692d089d77

鉴定结果：

该文件不是Windows可执行文件

显示全部楼层 · 发表于 2011-1-3 16:59:13

本帖最后由 solstice1988 于 2011-1-3 16:59 编辑

红伞说一个是误报，其他正在分析

我们收到了以下存档文件:

文件 ID  文件名大小(字节) 结果
26009636  BingDu.rar 245.54 KB OK

以下位置提供了存档中包含的文件及其结果的列表:

文件 ID  文件名大小(字节) 结果
26009637  My Documamts.exe  80.2 KB  UNDER ANALYSIS
26009534  regjpwb.exe  3 KB  UNDER ANALYSIS
25817413  hhs.exe  49.5 KB  FALSE POSITIVE
26009535  Environment.bat  464 Byte  UNDER ANALYSIS
26009536  regjpwb.bat  59 Byte  UNDER ANALYSIS

下面提供了与每个样本相关的详细报告:

文件名结果
My Documamts.exe  UNDER ANALYSIS

已确定“My Documamts.exe”文件是“UNDER ANALYSIS”。

文件名结果
regjpwb.exe  UNDER ANALYSIS

已确定“regjpwb.exe”文件是“UNDER ANALYSIS”。

文件名结果
hhs.exe  FALSE POSITIVE

已确定“hhs.exe”文件是“FALSE POSITIVE”。具体而言，这意味着此文件不是恶意程序，而是一次误报。以下版本的病毒定义文件(VDF)中将删除这项检测: 7.10.9.190.

文件名结果
Environment.bat  UNDER ANALYSIS

已确定“Environment.bat”文件是“UNDER ANALYSIS”。

文件名结果
regjpwb.bat  UNDER ANALYSIS

已确定“regjpwb.bat”文件是“UNDER ANALYSIS”。

显示全部楼层 · 发表于 2011-1-3 17:16:38

panda报1个木马，四个可疑

显示全部楼层 · 发表于 2011-1-3 17:52:29

Environment：
弹出DOS窗

ggbxweajgu：
2011-01-03 17:46:59 结束其他进程阻止
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [目标应用程序]c:\windows\system32\conime.exe

2011-01-03 17:47:00 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMusic\ImagePath
值: \??\C:\WINDOWS\system32\drivers\kpscc.sys
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-01-03 17:47:01 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMusic\Type
值: 0x00000001(1)
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-01-03 17:47:01 创建文件阻止
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: C:\WINDOWS\system32\drivers\kpscc.sys
规则: [文件组]系统文件夹写保护(询问删除) -> [文件]c:\windows\system32\drivers\*; *.sys

2011-01-03 17:47:02 加载驱动程序阻止
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: c:\windows\system32\drivers\dmusic.sys
规则: [应用程序]*

2011-01-03 17:47:08 修改注册表值阻止并结束进程
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\ggbxweajgu.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\exobutksam
值: C:\WINDOWS\system32\exobutksam\smss.exe
规则: [注册表组]注册表启动项保护(结束进程) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

2011-01-03 17:47:18 创建新进程阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\verclsid.exe
命令行: /S /C {41E300E0-78B6-11CE-849B-444553540000} /I {000214E9-0000-0000-C000-000000000046} /X 0x401
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\verclsid.exe

hhs:
2011-01-03 17:49:20 创建文件允许
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\hhs.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~6.bat
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*temp\*; *.bat

2011-01-03 17:49:21 创建新进程允许
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\hhs.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~6.bat "C:\Documents and Settings\Administrator\桌面\BingDu\BingDu\hhs.exe"
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

2011-01-03 17:49:25 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\regedit.exe
命令行: regedit /s C:\WINDOWS\liuzi\后期修补.reg
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\regedit.exe

2011-01-03 17:49:26 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011-01-03 17:49:26 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v SogouImeWizard /f
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011-01-03 17:49:27 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\regedit.exe
命令行: regedit /s C:\WINDOWS\liuzi\后期修补.reg
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\regedit.exe

2011-01-03 17:49:27 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\net.exe
命令行: net user /delete HelpAssistant
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\net.exe

2011-01-03 17:49:28 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\net.exe
命令行: net user /delete SUPPORT_388945a0
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\net.exe

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\FrameWork.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\FrameWork.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\mofcomp.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\mofcomp.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\replog.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\replog.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\setup.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\setup.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemcore.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemcore.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemess.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemess.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemprox.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wbemprox.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wmiadap.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wmiadap.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wmiprov.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:29 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\wbem\Logs\wmiprov.log
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\wbem\*

2011-01-03 17:49:31 创建文件夹阻止
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\temp
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\windows

2011-01-03 17:49:34 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\BingDu\BingDu\hhs.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-01-03 17:49:35 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\BingDu\BingDu\hhs.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

My Documamts:
2011-01-03 17:50:06 创建文件阻止并结束进程
进程: c:\documents and settings\administrator\桌面\bingdu\bingdu\my documamts.exe
目标: C:\WINDOWS\system32\rafnrlskag\explorer.exe
规则: [文件组]常见病毒文件免疫(结束病毒进程) -> [文件]*; exp??re?.???

regjpwb:
2011-01-03 17:50:36 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\attrib.exe
命令行: attrib -h -r -s regjpwb.exe
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\attrib.exe

2011-01-03 17:50:37 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\BingDu\BingDu\regjpwb.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-01-03 17:50:38 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\BingDu\BingDu\regjpwb.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

regjpwb:
无法运行

显示全部楼层 · 发表于 2011-1-3 18:56:43

"";"C:\Users\Administrator\Downloads\BingDu\BingDu\VSPS.exe";"发现病毒 Worm/AutoRun.KR";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\BingDu\BingDu\smss.exe";"发现病毒 Worm/AutoRun.KR";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\BingDu\BingDu\My Documamts.exe";"发现病毒 Worm/AutoRun.KR";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\BingDu\BingDu\hhs.exe";"特洛伊木马 Generic3_c.AAFZ";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\BingDu\BingDu\ggbxweajgu.exe";"发现病毒 Worm/AutoRun.KR";"已移至病毒库"

AVG5个，剩下上报

显示全部楼层 · 发表于 2011-1-3 19:07:51

360杀毒报4个

显示全部楼层 · 发表于 2011-1-3 21:58:32

趨勢抓到2隻~
已上報趨勢嚕~

显示全部楼层 · 发表于 2011-1-3 22:12:55

本帖最后由留侯于 2011-1-3 22:18 编辑

大蜘蛛：
>BingDu\smss.exe packed by UPX
BingDu\smss.exe probably infected with BACKDOOR.Trojan
BingDu\smss.exe - archive BINARYRES
BingDu\smss.exe/data001 infected with Trojan.PWS.Qqpass.5826
BingDu\smss.exe/data006 infected with Trojan.Siggen2.11657

>BingDu\ggbxweajgu.exe packed by UPX
BingDu\ggbxweajgu.exe probably infected with BACKDOOR.Trojan
BingDu\ggbxweajgu.exe - archive BINARYRES
BingDu\ggbxweajgu.exe/data001 infected with Trojan.PWS.Qqpass.5826
BingDu\ggbxweajgu.exe/data006 infected with Trojan.Siggen2.11657

>BingDu\VSPS.exe packed by UPX
BingDu\VSPS.exe probably infected with BACKDOOR.Trojan
BingDu\VSPS.exe - archive BINARYRES
BingDu\VSPS.exe/data001 infected with Trojan.PWS.Qqpass.5826
BingDu\VSPS.exe/data006 infected with Trojan.Siggen2.11657

余下4个已上报
>BingDu\Environment.bat - Ok
>BingDu\regjpwb.bat - Ok

>BingDu\My Documamts.exe packed by UPX
BingDu\My Documamts.exe probably infected with BACKDOOR.Trojan
BingDu\My Documamts.exe - archive BINARYRES
BingDu\My Documamts.exe/data001 infected with Trojan.PWS.Qqpass.5826
BingDu\My Documamts.exe/data006 infected with Trojan.Siggen2.11657

[病毒样本] 几个2011年薪病毒

本帖子中包含更多资源