超级样本，数字小a报安全，多家防火墙无法阻止后台联网

arsh

无法解压

dengcc

comodo下载时不报
但，运行时报了并杀之！

wanghai360good

发个未打包版的，用Inno Setup打包的。
其中的InstallDll.dll被AVG干掉了，不知道是不是母体。

blue_仰望

回复 16楼 saga3721 的帖子

我的红伞s版为什么木有反应呢？

saga3721

lniwn 发表于 2011-5-12 13:15
回复 16楼 saga3721 的帖子

我的红伞s版为什么木有反应呢？

我用的是OP防火墙+红伞杀毒。
我的虚拟机里也有这个配置，我也是在虚拟机里试毒的。所以你要是实机别尝试运行病毒木马啊

blue_仰望

回复 25楼 saga3721 的帖子

我下载和右键扫描都木有反应额。

saga3721

lniwn 发表于 2011-5-12 13:25
回复 25楼 saga3721 的帖子

我下载和右键扫描都木有反应额。

红伞还不能杀这个样本，得等入库后才能杀。在VM虚拟机中运行后OP的主防会提示它有注入explorer.exe的行为。

yusup

liulangzhecgr

Installation Report: prgenerate Setup                                            
Generated by InCtrl5, version 1.0.0.0
Install program: E:\DownLoads\setup\setup.exe
5-13-2011 8:24 AM

------------------------------------------------------------

Keys added: 253
---------------

Keys deleted: 8
---------------

Values added: 359
-----------------

Values changed: 68
------------------
------------------------------------------------------------
Disk contents
*************

Drives tracked: 4
-----------------
        * c:\
        * d:\
        * e:\
        * f:\

Folders added: 135
------------------

Files added:
-----------------
        c:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\PPTV 网络电视.lnk
        c:\Documents and Settings\Administrator\Application Data\PPLive\PPTV\*

        c:\Documents and Settings\Administrator\Local Settings\Temp\getmacaddress.dll
        c:\Documents and Settings\Administrator\Local Settings\Temp\nicdescr.dat
        c:\Documents and Settings\Administrator\Local Settings\Temp\Perflib_Perfdata_278.dat
        c:\Documents and Settings\Administrator\Local Settings\Temp\PPTV(pplive)_forwxf_0019.exe
        c:\Documents and Settings\Administrator\Local Settings\Temp\PPTV_Update.ini
        c:\Documents and Settings\Administrator\Local Settings\Temp\sop.dll
        c:\Documents and Settings\Administrator\Local Settings\Temp\nsx4.tmp\BindDLL.dll
        c:\Documents and Settings\Administrator\Local Settings\Temp\nsx4.tmp\InetLoad.dll
        c:\Documents and Settings\Administrator\Local Settings\Temp\nsx4.tmp\PPBindDAC.dll
        c:\Documents and Settings\Administrator\Local Settings\Temp\nsx4.tmp\PPInstallLog.dll
        c:\Documents and Settings\All Users\「开始」菜单\程序\PPLive\PPTV 网络电视.lnk
        c:\Documents and Settings\All Users\「开始」菜单\程序\PPLive\PPTV网站.lnk
        c:\Documents and Settings\All Users\「开始」菜单\程序\PPLive\卸载 PPTV.lnk
        c:\Documents and Settings\All Users\「开始」菜单\程序\启动\PPTV.lnk
        c:\Documents and Settings\All Users\Application Data\Jlcm\profiles.ini
        c:\Documents and Settings\All Users\Application Data\PPLive\*

        c:\Documents and Settings\All Users\桌面\PPTV 网络电视.lnk
        c:\Documents and Settings\All Users\桌面\PPTV在线影视.lnk
        c:\Program Files\Common Files\PPLiveNetwork\*

        c:\Program Files\Funshion Online\Funshion\FunshionAddr\ASBarBroker.exe
        c:\Program Files\Funshion Online\Funshion\FunshionAddr\funshionAddr.dll
        c:\Program Files\Internet Explorer\PPLite\plugin\pplugin2.dll
        c:\Program Files\Internet Explorer\PPLite\plugin\1.0.0.510\mframe.dll
        c:\Program Files\Internet Explorer\PPLite\plugin\1.0.0.510\ppp.dll
        c:\Program Files\PPLive\PPTV\*

        c:\Program Files\prgenerate\Install.tmp
        c:\Program Files\prgenerate\InstallDll.dll
        c:\Program Files\prgenerate\unins000.dat
        c:\Program Files\prgenerate\unins000.exe
        c:\runpisoft\runset.exe
        c:\usoftn\FunshionInstall.exe
        c:\WINDOWS\Condu.lnk
        c:\WINDOWS\system32\kindling.dll
        c:\WINDOWS\vistaw7\*

        f:\FavoriteVideo\readme.txt
        f:\FavoriteVideo\InvisibleFolder\*


Files deleted: 7
----------------

Files changed: 36
-----------------
------------------------------------------------------------
INI file
********

Ini files tracked: 3
--------------------
        * C:\boot.ini
        * c:\windows\control.ini
        * c:\windows\system.ini

Sections deleted: 1
-------------------
        c:\windows\system.ini - [TTFontDimenCacheDBCS]

Keys deleted: 16
----------------
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 10"
                Value: 6 8
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 11"
                Value: 6 8
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 12"
                Value: 5 12
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 13"
                Value: 5 12
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 14"
                Value: 5 12
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 15"
                Value: 5 12
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 16"
                Value: 12 16
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 18"
                Value: 10 18
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 20"
                Value: 10 18
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 22"
                Value: 10 18
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 4"
                Value: 4 6
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 5"
                Value: 4 6
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 6"
                Value: 4 6
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 7"
                Value: 4 6
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 8"
                Value: 6 8
        c:\windows\system.ini, [TTFontDimenCacheDBCS] "0 9"
                Value: 6 8
------------------------------------------------------------
Text file
*********

Text files tracked: 2
---------------------
        * c:\windows\system32\autoexec.nt
        * c:\windows\system32\config.nt
------------------------------------------------------------
        InCtrl5, Copyright ?2000 by Ziff Davis Media, Inc.
        Written by Neil J. Rubenking
        First published in PC Magazine, December 5, 2000.

lyp545981034

解压了之后

卡巴才提示正在访问的程序包含木马