各位病毒分析高手来帮帮忙，谢谢了。在线等···抓获的部分病毒样本，求分析。有更新

卡毒_破晓

       由于本人工作需要，要用到一款软件，但是正版的实在太贵，8000多元，自己那么点点微薄的工资实在买不起，公司对我这样的新人也不会投入这么大的资金。没办法，只有自己去买盗版，盗版才80元。 那软件由于要用到加密狗，就涉及到加密狗的驱动问题，买回来一安装，咖啡还是企业版的都不挺的报毒、、、但是没办法，要用啊，我强行关掉了咖啡，安装好后，一开咖啡，更是不停的报特洛伊木马程序，晚上就来网吧把这驱动程序那到杀毒网测试，大部分都提示什么后门程序，我就十分担心是什么鸽子之类的。因为05年我哥那会用电脑就被鸽子折腾够了，我也忙活够了。但是又想到大部分破解程序都是杀软误报，我现在就真分不清楚这到底是误报还是真的那卖软件在这上面捆绑木马。现在将这病毒样本上传，各位大神帮小弟看看他的行为，谢谢啦，凌晨一点之前在线等。


http://u.115.com/file/e61ch5qh  样本

补充一点，刚刚我用沙河看了下，有2个好像是访问IE的，这驱动是广联达预算，和IE没有直接和间接的关系吧，金山提示是盗号程序- -· 我又是个人民币游戏玩家，号掉了怪可惜的，有没有什么办法既能用，又让他木马运行的了，我现在真想骂那卖软件的！自己从网上下盗版卖就行了，还加什么木马 麻烦死！

   昨天根据楼下高手的意见，今天上班对着那鬼电脑杀了一天的毒，结果 1： 机子出现什么缺少system32 hal.dd 无法开机了。
   重装系统：悲剧中，还好我桌面没有什么重要东西，只是修改的部分图纸没有了，问题不大，花了将近1个小时装软件。什么打印啊扫描啊···又想起昨晚我又下了个金山套装，安装上···在继续安装昨天那个，一点就出现病毒提示：无视继续下去，还是提示：索性关掉，继续···好了软件可以打开了，但是超级卡····我脑袋又卡了，想到是不是有病毒，打开金山毒霸，点击查毒，好卡啊··直接卡的不动了···刚刚没按这软件的时候速度快的笑·开机才26秒，这下这么慢 好不容易等弹出杀毒的那个框框看到在跑，奇怪发生了，都是杀的金山自己！神啊~~~  更可恶的是查杀一分钟后，自己就关闭了！  然后卫士提示什么毒霸启动项被更改什么的， 然后就发现毒霸的文件扫描没有了··要修复！我那个插！ 直接点击删除毒霸，我想我U盘还有杀软，我换，还是换回来卡巴，我用的是卡巴工作站版，办公室适合这个东西，结果喜剧了，一样的主动防御老是提示什么DNS 卡巴在访问，然后点击允许，我看到是卡巴的，就一直点击允许，好查杀~杀了个什么驱动，哦或~卡巴也没有了，点开始那里面得卡巴启动，也没反应了，我怒！这一天就这么过去了，我想起还有个A2绿色版，我在拿出来扫，我想你防主流杀软总不防这个吧，确实找了几个DLL，然后速度隔离，又安装金山，还是一扫描就自动关闭！这里不是关闭计算机是关闭杀毒窗口，崩溃！实在没折了，什么修复系统啊这样那样的都用过了，没法！ 无意中点开C盘，发现C盘还有个Q拨的那个播放安装软件，那种黄网的！我！！！才装的系统，好久跑出来这个的，更确定是病毒了~！而且C盘那个应用文件删除了它又出来了奶奶的，寡人整了半天他才没冒出来！
   在刚刚快下班的时候，金山无敌了，昨天能杀的那个驱动，今天查杀居然显示无毒，安全文件，一扫就过了~~~我那电脑没联网的··· 上卡巴也这样····高手快来啊~~我要疯了！ 现在把那个DLL 和C盘EXE上传求大神分析，解头疼！
    还忘记说了，我U盘没毒的，后来金山还提示U盘也出现病毒了，就是那种一个回收站图样的，里面一个应用程序，加一个inf~
      金山的沙盘程序也不能使用了。
http://u.115.com/file/e6102adl   C盘冒出来的应用程序
http://u.115.com/file/clcwv1bk  全盘扫描部分病毒样本
   

bluelily

文件已到期   请更换网盘

卡毒_破晓

回复 2楼 bluelily 的帖子

http://u.115.com/file/e61ch5qh     刚刚忘记共享了 不好意思` 现在已经打开了，就是这个链接。

bluelily

对于这种软件       还是拿到其他机器上用比较好……   个人建议   

comodo和anubis没看出个所以然   重要区域写入文件是事实    但是这种软件嘛……
      
http://anubis.iseclab.org/?actio ... e49&format=html
http://camas.comodo.com/cgi-bin/ ... a0ea0b8c1b9db5e2ade

卡毒_破晓

回复 4楼 bluelily 的帖子

   办公室电脑安装，没安装起，我就一下冲动了，那自己的本子出来安装了驱动，结果现在严重后怕中 。。。。杀软又太不放心他的判断了，我又太不放心这鬼东西的举动了。。。。

bluelily

回复 5楼 卡毒_破晓 的帖子

已经安装了的话     杀软全盘扫描一下看看能挖出些什么东西    然后传上来
如果不放心建议立刻把所有重要数据备份起来      删掉隐私痕迹

卡毒_破晓

  好多的东西啊，转移起码都要一天啊····能不能直接秒了他 或者通过法律手段把那该死的卖软件的抓其他，都是他的错，卖个盗版都算了，还加什么鬼木马，有什么好处嘛！无非就是那么点点好奇心，都三四岁的人了！

SK云少

支持使用法律手段！！！

liulangzhecgr

留侯

大蜘蛛clean，文件加了壳：
D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE - 压缩文件 BINARYRES
>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data001 已打包，方式： PESTUB
>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data001 已打包，方式： FLY-CODE
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data001 已打包，方式： VMPROTECT
>>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data001 - 确定
>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002 - 压缩文件 BINARYRES
>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002/data001 已打包，方式： PESTUB
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002/data001 已打包，方式： FLY-CODE
>>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002/data001 已打包，方式： VMPROTECT
>>>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002/data001 - 确定
>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data002 - 确定
>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data003 已打包，方式： FLY-CODE
>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data003 已打包，方式： VMPROTECT
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data003 - 压缩文件 BINARYRES
>>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data003/data001 - 确定
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data003 - 确定
>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data004 已打包，方式： FLYSFX
>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data004 - 压缩文件 BINARYRES
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data004/krnln.fnr - 确定
>>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data004/shell.fne - 确定
>>D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE/data004 - 确定
D:\ZL\Downloads\加密狗锁驱动2011-4.27\加密狗锁驱动2011-4.27.EXE - 确定