一款辅助是否会盗号？

显示全部楼层 · 发表于 2011-4-16 20:10:49

一款辅助 virscan30%报毒哪位大虾能告知一下是否有盗号程序或者其他什么还有问一下那些什么YY频道的辅助是否真的无毒？

显示全部楼层 · 发表于 2011-4-16 20:16:18

大蜘蛛：
=B1=F3=B1=F3=BC=D2=CD=A5=B0=E6.exe - archive BINARYRES
=B1=F3=B1=F3=BC=D2=CD=A5=B0=E6.exe/data001 infected with Trojan.PWS.Wsgame.22668

在线游戏盗号木马。

显示全部楼层 · 发表于 2011-4-16 20:31:58

回复 1楼 kzy2412540 的帖子

2011-4-16 20:25:24 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\斌斌家庭版.exe
命令行: "D:\我的文档\Desktop\斌斌家庭版.exe"
规则: [应用程序]*

2011-4-16 20:25:26 访问网络允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: UDP [本机 : 1189] ->  [127.0.0.1 : 1189]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-16 20:25:26 访问网络允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: TCP [本机 : 1190] ->  [222.186.23.100 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-16 20:25:27 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\2798310[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:25:27 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\common[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:25:28 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8EQWVI3Z\qzfl_2.0.7.6[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:25:34 访问网络允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: TCP [本机 : 1207] ->  [113.107.43.72 : 82]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-16 20:25:36 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\WINDOWS\system32\SouGoo.ime
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ime

2011-4-16 20:25:37 创建注册表项允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0210804
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\*

2011-4-16 20:25:37 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: D:\我的文档\Desktop\jian.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-4-16 20:25:38 修改注册表值允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version
值: WS not installed
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2011-4-16 20:26:08 底层键盘操作允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
规则: [应用程序]*

2011-4-16 20:26:11 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L8MONWDJ\toolbarLoader[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:11 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\v[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:11 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: d:\我的文档\desktop\斌斌家庭版.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000
规则: [应用程序]c:\windows\system32\svchost.exe

2011-4-16 20:26:12 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\stat[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:12 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\BW7WE0LS\iframe[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:13 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\BW7WE0LS\comm[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:15 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L8MONWDJ\appclientlib[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:15 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\qbs[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:15 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2Z6CQ0YB\qzfl[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2011-4-16 20:26:16 创建文件允许
进程: d:\我的文档\desktop\斌斌家庭版.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8EQWVI3Z\qbslib[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js
从底层键盘，改主页，system32创建C:\WINDOWS\system32\SouGoo.ime来判断，病毒的可能性大。

显示全部楼层 · 发表于 2011-4-16 20:34:59

ess kill

2011-4-16 20:32:21 HTTP 过滤器文件 http://bbs.kafan.cn/forum-attach ... c5fDQzNzY2NA==.html Win32/Agent.SFB 特洛伊木马的变种连接中断 - 已隔离 PC-20110117PUSW\Administrator 通过应用程序访问 web 时检测到威胁: C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\Application\chrome.exe.

显示全部楼层 · 发表于 2011-4-16 20:40:41

红伞杀

显示全部楼层 · 发表于 2011-4-16 20:42:26

回复 3楼 zhou0197 的帖子

看到那个键盘就知道了不过主页没改。。。。谢谢你的分析

显示全部楼层 · 发表于 2011-4-16 20:56:45

本帖最后由 hj5abc 于 2011-4-16 21:04 编辑

运行MSE隔离SoGoo.ime,程序不能继续下面的行为,无其他生成。

显示全部楼层 · 发表于 2011-4-16 21:10:38

TP启发

显示全部楼层 · 发表于 2011-4-16 21:12:24

警告
为保证您的安全，将不会访问此网页

在请求的页面的 HTTP 数据中发现病毒或恶意程序。
请求的 URL: http://bbs.kafan.cn/forum-attach ... Q3NzQ4Ng%3D%3D.html
信息: 是 TR/PSW.Online.53248 特洛伊木马
由 AntiVir WebGuard 10.01.00.00 生成，AVE 8.2.4.208，VDF 7.11.6.143

ps：在红伞看来就是盗号的，因为有个PSW

显示全部楼层 · 发表于 2011-4-16 23:30:28

趋势kill 1 virus (MAL)～

[病毒样本] 一款辅助是否会盗号？

本帖子中包含更多资源

[病毒样本] 一款辅助 是否会盗号？

本帖子中包含更多资源

[病毒样本] 一款辅助是否会盗号？