收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 过很多。30/2 样本 确定为下载器 但求行为
12下一页
返回列表 发新帖
查看: 3381|回复: 19
收起左侧

[病毒样本] 过很多。30/2 样本 确定为下载器 但求行为

[复制链接]
emric
发表于 2011-1-5 16:44:50 | 显示全部楼层 |阅读模式
本帖最后由 ai、guo 于 2011-1-5 16:48 编辑

其中setup.hta 为原下载器,下载修改版的115浏览器 和 世界之窗浏览器 和 oplasc112.tmp文件 和 Run.exe 还有 06.dll 和开启服务.禁止cmd 和桌面图标清理等。
其链生物Run.exe 被杀 (小A,金山。360没反应)
链生物主要修改注册表和建立恶意图标

oplasc112.tmp
未知

06.dll
未知

链生物
链生物
主程序
有3个文件过大。未上传,如果乐意测试请在虚拟机或直接运行得文件  


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

恋亿晓
发表于 2011-1-5 17:02:39 | 显示全部楼层
3x to avast!
回复

举报

瓜皮猫
发表于 2011-1-5 17:03:17 | 显示全部楼层
本帖最后由 三生缘石 于 2011-1-5 17:20 编辑

06 全pass  http://www.virustotal.com/file-scan/report.html?id=54af0e697d226ecf4ec9adcde835191ae6bf277508d5191ea0891aaec4895cd0-1294218127
Run一个报  http://www.virustotal.com/file-scan/report.html?id=765732f91f595966b4de14b78c0b50494e828ef33730067b353f07f71984129c-1294218235偷偷摸摸下载个了什么免费打电话的东西,不过在VT上扫描下来都是干净的。
Setup 3个http://www.virustotal.com/file-scan/report.html?id=620200232e1c64f3cae100fc75dcc483be4e09428ff172870826a7a81d15a4f3-1294218288生成一堆网页。
等别人来鉴定吧

回复

举报

emric
 楼主| 发表于 2011-1-5 18:17:10 | 显示全部楼层
回复 3楼 三生缘石 的帖子

谢 检测。。
回复

举报

ppy0606
发表于 2011-1-5 19:07:35 | 显示全部楼层
2011-01-05 19:05:03    创建新进程    允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\viurs test\run\run.exe
命令行: "d:\我的文档\viurs test\Run\Run.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-01-05 19:05:04    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:05    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:06    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:06    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:06    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:06    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:07    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:07    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:08    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:08    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:08    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:08    修改文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 19:05:09    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:33    修改注册表值    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-01-05 19:05:40    创建文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: C:\Documents and Settings\Administrator\桌面\免费打电话20110105.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

2011-01-05 19:05:42    创建文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: C:\Documents and Settings\Administrator\桌面\免费打电话20110105.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

2011-01-05 19:05:43    创建文件    阻止
进程: d:\我的文档\viurs test\run\run.exe
目标: C:\Documents and Settings\Administrator\桌面\免费打电话20110105.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

回复

举报

fatezero
发表于 2011-1-5 19:22:06 | 显示全部楼层
KIS

已删除: Trojan.VBS.Agent.lt        E:\download\06\setup.hta/E:\download\06\setup.HTA               
已删除: Trojan-Downloader.Win32.Agent.fpgl        E:\download\06\Run.exe               
回复

举报

星晨
发表于 2011-1-5 19:22:32 | 显示全部楼层
日期                              应用程序                                    行为                 目标
2011-01-05 19:11:29   C:\Users\k\Desktop\setup.HTA   访问COM接口   C:\Program Files\Internet Explorer\iexplore.exe   
2011-01-05 19:12:00   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\about\shell\open\command   
2011-01-05 19:13:06   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\about\shell\open   
2011-01-05 19:13:19   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\about\shell\open\command\   
2011-01-05 19:13:38   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}   
2011-01-05 19:13:51   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\   
2011-01-05 19:14:06   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\DefaultIcon   
2011-01-05 19:14:20   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\DefaultIcon\   
2011-01-05 19:14:36   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Open(&H)   
2011-01-05 19:14:55   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID   
2011-01-05 19:15:11   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Open(&H)\   
2011-01-05 19:15:26   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Open(&H)\Command   
2011-01-05 19:15:41   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Open(&H)\Command\   
2011-01-05 19:15:44   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Z   
2011-01-05 19:15:45   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Z\   
2011-01-05 19:15:46   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Z\Command   
2011-01-05 19:15:47   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\Z\Command\   
2011-01-05 19:15:48   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\属性(&R)\Command   
2011-01-05 19:15:49   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\属性(&R)   
2011-01-05 19:15:50   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\Shell\属性(&R)\Command\   
2011-01-05 19:15:51   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\ShellFolder   
2011-01-05 19:15:52   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{78AE2D63-AB8A-9AD7-8888-86A33833C94B}\ShellFolder\Attributes   
2011-01-05 19:15:52   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\Start Page   
2011-01-05 19:15:54   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{3F92DA25-A429-7777-A754-4482C9B99C28}   
2011-01-05 19:15:55   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{3F92DA25-A429-7777-A754-4482C9B99C28}\IsShortCut   
2011-01-05 19:15:56   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{3F92DA25-A429-7777-A754-4482C9B99C28}\shell\open(&H)\command   
2011-01-05 19:15:57   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{3F92DA25-A429-7777-A754-4482C9B99C28}\shell\open(&H)   
2011-01-05 19:16:20   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{3F92DA25-A429-7777-A754-4482C9B99C28}\shell\open(&H)\command\   
2011-01-05 19:17:51   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKUS\S-1-5-21-3799767426-424094828-1398871737-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell   
2011-01-05 19:17:53   C:\Users\k\Desktop\setup.HTA   访问COM接口   C:\Windows\System32\svchost.exe   
2011-01-05 19:17:55   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKUS\S-1-5-21-3799767426-424094828-1398871737-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable   
2011-01-05 19:17:56   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKUS\S-1-5-21-3799767426-424094828-1398871737-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer   
2011-01-05 19:17:57   C:\Users\k\Desktop\setup.HTA   修改注册表项   HKUS\S-1-5-21-3799767426-424094828-1398871737-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride   
2011-01-05 19:17:58   C:\Users\k\Desktop\setup.HTA   DNS/RPC 客户端访问   \RPC Control\DNSResolver
回复

举报

星晨
发表于 2011-1-5 19:30:02 | 显示全部楼层
BitDefender上报
回复

举报

dalianjhc1986
发表于 2011-1-5 19:36:32 | 显示全部楼层
to eset
回复

举报

留侯
发表于 2011-1-5 20:24:40 | 显示全部楼层
大蜘蛛:
setup.HTA/VBScript.Encode.0 packed by ENCODED SCRIPT
In file >setup.HTA/VBScript.Encode.0 probably found virus SCRIPT.Virus

大蜘蛛启发式分析技术判断出了主程序,两个衍生物clean,可能是启发式分析技术相关。
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-15 07:09 , Processed in 0.171077 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表