MD5[305506 c1cb0c 7e38d7 bb360b dd83af ]

显示全部楼层 · 发表于 2007-6-10 08:42:02

http://bbs.kafan.cn/viewthread.php?tid=95041
中的解出的样本

[凝逸.扫描记录]
MD5[305506 c1cb0c 7e38d7 bb360b dd83af ]
c:\新建文件夹\305506_qqms.exe,木马
c:\新建文件夹\c1cb0c_qqqz.exe,木马
c:\新建文件夹\7e38d7_safemo~1.exe,木马
c:\新建文件夹\bb360b_wlsg.exe,木马
c:\新建文件夹\dd83af_cpuxs.exe,木马
感染:5/文件:5
扫描完成|文件:5|耗时:170

显示全部楼层 · 发表于 2007-6-10 08:50:00

detected: Trojan program Trojan.BAT.Dater.a URL: http://bbs.kafan.cn/attachment.p ... PE//PE_Patch.MaskPE

显示全部楼层 · 发表于 2007-6-10 08:52:18

服了LZ了。。。。舍不得打包文件。。。。。直接修改成zip。。。。你真牛

显示全部楼层 · 发表于 2007-6-10 08:54:59

AVG不报

显示全部楼层 · 发表于 2007-6-10 09:00:00

運行svchost.exe，發現下列行為，被EQ-Secure RC1攔截！
--------
2007-06-10 08:59:30 運行應用程序操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\桌面\virus\svchost.exe
规则:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-10 08:59:31 創建文件操作:阻止
進成路徑:D:\桌面\virus\svchost.exe
文件路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\9087343.bat
规则:黑名單->In Side->*.bat

----------------------------------------
1.他會在下列路徑產生9087343.bat
C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\

显示全部楼层 · 发表于 2007-6-10 09:06:47

運行305506_qqms.exe，發現下列行為，被EQ-Secure RC1攔截！
-----------
2007-06-10 09:04:28 運行應用程序    操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
规则:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-10 09:04:28 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\MSINET.OCX
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 09:04:28 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\MSINET.OCX
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 09:04:28 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\MSINET.OCX
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 09:04:28 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\VSListview.ocx
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 09:04:29 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\VSListview.ocx
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

2007-06-10 09:04:29 創建文件    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\305506_qqms.exe
文件路徑:C:\WINDOWS\system32\VSListview.ocx
规则:所有程序規則->2.1.3保護部份重要的文件和資料夾->%SystemDrive%\*

-------------------------------------------------------------------------------------------
1.他會在下列路徑產生MSINET.OCX
C:\WINDOWS\system32\
2.他會在下列路徑產生VSListview.ocx
C:\WINDOWS\system32\

显示全部楼层 · 发表于 2007-6-10 09:13:35

運行DD83AF_cpuxs.exe，發現下列行為，被EQ-Secure RC1攔截！
-----------
2007-06-10 09:09:18 運行應用程序    操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑:D:\桌面\virus\新建文件夹part1\DD83AF_cpuxs.exe
规则:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-10 09:09:20 创建注册表值    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\DD83AF_cpuxs.exe
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
註冊表名稱:rainy
注册表数据:rainy.exe /startup
规则:所有程序規則->係統自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2007-06-10 09:09:21 创建注册表值    操作:阻止
進成路徑:D:\桌面\virus\新建文件夹part1\DD83AF_cpuxs.exe
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
註冊表名稱:rainy
注册表数据:rainy.exe /startup
规则:所有程序規則->係統自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

.........................下面都一樣，一直跳出錯誤視窗，差點摧毀我的電腦！

------------------------------------------------------------------------------------
1.他會创建注册表值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
rainy
rainy.exe /startup

显示全部楼层 · 发表于 2007-6-10 09:17:35

直接修改成zip,骗过bbs!

显示全部楼层 · 发表于 2007-6-10 09:25:15

原帖由 a256886572008 于 2007-6-9 20:13 发表
運行DD83AF_cpuxs.exe，發現下列行為，被EQ-Secure RC1攔截！
-----------
2007-06-10 09:09:18 運行應用程序操作:允許
進成路徑:C:\WINDOWS\Explorer.EXE
文件路徑 ...

难道完完了

显示全部楼层 · 发表于 2007-6-10 09:35:33

红伞都报

[病毒样本] MD5[305506 c1cb0c 7e38d7 bb360b dd83af ]

本帖子中包含更多资源