有点像鬼影1代呀

显示全部楼层 · 发表于 2011-4-28 23:12:42

本帖最后由 byxxdrls 于 2011-4-28 23:33 编辑

由http://bbs.kafan.cn/thread-971152-1-1.html这儿的样本下载的。
http://crr.dmy2.com:81/rc/ssem.jpg

23:00:55.7130063 ssem.exe 3252 写入文件 C:\Program Files\MSDN\000000001 成功 Offset: 0, 长度: 8,192
23:00:57.0002507 ssem.exe 3252 写入文件 C:\Program Files\MSDN\hehex.sys 成功 Offset: 0, 长度: 14,336

这个目录和鬼影1代的目录名是一样的呀。只是我的虚拟机VPC的硬盘模式不是IDE的，没看到MBR被改写。

在VM中（虚拟硬盘是IDE模式）运行了一下，未发现MBR异常

显示全部楼层 · 发表于 2011-4-28 23:14:44

本帖最后由骑扫帚的巫婆猪于 2011-4-28 23:16 编辑

Last infection: bbs.kafan.cn
Infected with: Gen:Variant.Kazy.2191 (Engine A), Win32:Malware-gen (Engine B)

显示全部楼层 · 发表于 2011-4-28 23:19:08

红伞kill 过ik

显示全部楼层 · 发表于 2011-4-28 23:28:20

ess 4.2 kill

显示全部楼层 · 发表于 2011-4-29 00:12:06

回复 1楼 byxxdrls 的帖子

病毒 Win32.Troj.Pincav.(kcloud)

显示全部楼层 · 发表于 2011-4-29 00:14:58

2011-04-29 00:10:56 创建文件    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\Program files\MSDN
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-04-29 00:10:56 创建文件    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\Program files\MSDN\LHL13.sys
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.sys

2011-04-29 00:10:56 运行应用程序    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c time 00:10:00
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-29 00:10:56 修改其它进程内存    操作:阻止
进程路径:F:\virus\ssem\ssem.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-29 00:10:59 创建文件    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\Program files\MSDN\hehex.sys
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.sys

2011-04-29 00:11:01 创建文件    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\Program files\MSDN\mylpk.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll

2011-04-29 00:11:04 运行应用程序    操作:允许
进程路径:F:\virus\ssem\ssem.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

显示全部楼层 · 发表于 2011-4-29 05:29:58

本帖最后由 liulangzhecgr 于 2011-4-29 05:42 编辑

我也试一试看!
-----------------------

显示全部楼层 · 发表于 2011-4-29 06:34:57

感染性病毒?!

显示全部楼层 · 发表于 2011-4-29 06:40:18

本帖最后由 xwhmm 于 2011-4-29 06:40 编辑

居然miss

显示全部楼层 · 发表于 2011-4-29 06:53:55

可疑文件扫描报告┊2011-4-21 8:00┊
┊360杀毒 2.0.0.2033 ┊
扫描选项--指定目录扫描
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：通知用户
扫描系统内存：是
扫描磁盘引导区：是
扫描 Rootkit：是
使用QVM启发式引擎：是
=======================
┊安天防线v7.2.2.3184 ┊--指定目录扫描
----------------------
云安全：yes
扫描文件类型：所有文件
扫描压缩包：yes
扫描Cookies：yes
扫描Rootkit：yes
启发式：yes

Windows XP SP3┊Google Chrome 10┊7-Zip┊7z
----------------------
文件名: D:\mp4\0425to1\to1648up5\ssem.rar
文件大小: 28385 字节 (27.72 KB)
修改日期: 2011-04-29 06:45
MD5: 129bf4472ce7b0e73ed1855dc1f22bfe
SHA1: a8156b8b2783da07dbfb5c63c25fb21cb782ba49
SHA256: 8f1fcdbbce0e7d0127781b03d9775e5f1fa69101eed30d110bc85ee5c392a38e
CRC32: 19b83bc5

----------------------
360杀毒2：
病毒扫描结果
----------------------
D:\mp4\0425to1\to1648up5\ssem.rar=>sem.rar=>ssem.exe 木马(Win32/Trojan.142) 未处理
=======================
安天防线7：[2011-04-29 06:48:40] D:\mp4\0425to1\to1648up5\ssem.rar/ssem.exe 木马程序(trojan/win32.pincav.ajbh) 未处理
----------------------
本地病毒库最后更新时间：2011-4-29 6:49
在线多引擎扫描：
Status: Scan finished. 8 out of 20 scanners reported malware.
h~ttp://virusscan.jotti.org/en/scanresult/afd1c61d87816b95c4570f0d3705eb43da036c7b

[病毒样本] 有点像鬼影1代呀

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块