支付宝&银行帐号偷窃样本[MD5: 82744B]

显示全部楼层 · 发表于 2011-3-9 09:39:54

诺顿杀掉.

显示全部楼层 · 发表于 2011-3-9 09:41:46

shanghaiplmm 发表于 2011-3-9 09:39
诺顿杀掉.

看来诺顿对它很灵敏

显示全部楼层 · 发表于 2011-3-9 09:56:48

mse无视

显示全部楼层 · 发表于 2011-3-9 10:08:50

鳄鱼嘴发表于 2011-3-9 09:41
看来诺顿对它很灵敏

记得昨天下的时间就可以杀掉的，这里给诺顿上报的不多.

显示全部楼层 · 发表于 2011-3-9 12:12:25

本帖最后由 liulangzhecgr 于 2011-3-9 12:47 编辑

2011-03-09 11:50:09 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\downloads\107\107.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:51:03 运行应用程序    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /t /im KSafeSvc.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:51:17 运行应用程序    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /t /im KSafeTray.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:51:29 修改注册表内容    操作:允许
进程路径:F:\downloads\107\107.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32
注册表名称:[Default]
触发规则:所有程序规则->全局规则->*

2011-03-09 11:51:56 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3733187_res.tmp
触发规则:所有程序规则->全局规则->*

2011-03-09 11:52:21 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\3720890.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:52:31 删除文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3733187_res.tmp
触发规则:所有程序规则->全局规则->*

2011-03-09 11:52:41 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\3720890.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:52:48 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3805000_res.tmp
触发规则:所有程序规则->全局规则->*

2011-03-09 11:53:06 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\kiTool.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:53:12 删除文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3805000_res.tmp
触发规则:所有程序规则->全局规则->*

2011-03-09 11:53:19 创建文件    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\kiTool.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:54:12 运行应用程序    操作:允许
进程路径:F:\downloads\107\107.exe
文件路径:C:\WINDOWS\kiTool.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:54:20 修改注册表内容    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->全局规则->*

2011-03-09 11:54:35 创建文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\id.txt
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:06 创建文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\360.zip
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:10 创建文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\libeay32.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:12 修改文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\libeay32.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:14 创建文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\netview.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:15 修改文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\netview.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:17 创建文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\ssleay32.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:19 修改文件    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\ssleay32.dll
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:30 运行应用程序    操作:允许
进程路径:C:\WINDOWS\kiTool.exe
文件路径:C:\WINDOWS\netview.exe
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:36 修改注册表内容    操作:允许
进程路径:C:\WINDOWS\netview.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:41 修改注册表内容    操作:允许
进程路径:C:\WINDOWS\netview.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->全局规则->*

2011-03-09 11:55:53 系统设备控制    操作:允许
进程路径:C:\WINDOWS\netview.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:所有程序规则->全局规则->*

显示全部楼层 · 发表于 2011-3-9 12:47:31

尊敬的用户，您好！

您的邮件已经收到，感谢您及时联系微点客户服务人员！

   107.exe ------- Trojan-PSW.Win32.Agent.
   该文件大小为：105 MB (110,314,367 字节) 经压缩以后是623 KB (638,525 字节) ，该文件为了躲避杀毒软件查杀，将107.exe 文件添加了很多空字节，使文件变得超大，无法提取该文件病毒特征。

   taskkill /f /t /im KSafeSvc.exe
   taskkill /f /t /im KSafeTray.exe

   该文件还在windows目录下释放C:\WINDOWS\KiTool.exe 文件，24.6 MB (25,802,154 字节) 该文件负责链接网络，窃取支付宝账户信息。然后盗取与之相关账户的银行信息。各大银行为（中国工商，中国农业，中国建设，招商银行，广东发展银行，兴业银行，深圳发展银行，中国民生银行，中国银行，交通银行，上海浦发发展银行，中信实业银行，光大银行，平安银行）。
   我们正在处理这个样本。

   谢谢提供样本。希望您能够继续支持微点，微点会为您提供更多完善的解决方案和优质的服务。

注释：
   PE文件：Win32环境下的可移植执行体。
   dll文件：动态链接库文件，由其它程序调用，单独无法运行。
   已损坏的PE文件：经第三方程序修改或人为造成文件损坏。
   非病毒文件：不含有恶意代码的文件。
   非PE格式的病毒文件：泛指网页木马、脚本病毒、宏病毒、恶意代码等。

显示全部楼层 · 发表于 2011-3-9 13:09:35

这样有密码的上报要不要把密码也给他啊

显示全部楼层 · 发表于 2011-3-9 17:51:20

kis 556 正常报毒

显示全部楼层 · 发表于 2011-3-9 23:08:43

真猥琐的病毒.. 上报诺顿..

显示全部楼层 · 发表于 2011-3-10 11:46:26

shanghaiplmm 发表于 2011-3-9 10:08
记得昨天下的时间就可以杀掉的，这里给诺顿上报的不多.

是这样啊，为什么上报的不多哪

[病毒样本] 支付宝&银行帐号偷窃样本[MD5: 82744B]

本帖子中包含更多资源