样本

hx1997

搬运...

Packed automatically

ESET killed all.

02.cab貌似是鬼影？请问是第几代的？

hddu

2011-06-01 00:04:35    运行应用程序      操作:允许
进程路径:F:\virus\samples\samples\02.cab.exe
文件路径:C:\WINDOWS\Temp\ali.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-06-01 00:04:35    底层写磁盘操作      操作:阻止
进程路径:F:\virus\samples\samples\02.cab.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*


2011-06-01 00:04:40    创建文件      操作:允许
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\WINDOWS\system32\tb.ico
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*


2011-06-01 00:04:40    创建文件      操作:允许
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\WINDOWS\system32\dy.ico
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*


2011-06-01 00:04:40    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*


2011-06-01 00:04:40    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*


2011-06-01 00:04:40    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}*


2011-06-01 00:04:41    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}*


2011-06-01 00:04:41    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}*


2011-06-01 00:04:41    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}*


2011-06-01 00:04:41    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}*


2011-06-01 00:04:41    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2011-06-01 00:04:41    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\Temp\ali.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2011-06-01 00:04:41    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.SE
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Int*Exp*.*


2011-06-01 00:04:41    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.SE
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*.*


2011-06-01 00:04:47    创建文件      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\Documents and Settings\All Users\桌面\淘宝网.JE
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*


2011-06-01 00:04:47    创建文件      操作:阻止
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\Documents and Settings\All Users\桌面\免费高清电影.JJE
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*


2011-06-01 00:04:48    创建文件      操作:允许
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\WINDOWS\VC.ini
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*


2011-06-01 00:05:11    运行应用程序      操作:允许
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%windir%\system32\ctfmon.exe


2011-06-01 00:05:32    创建文件      操作:允许
进程路径:C:\WINDOWS\Temp\ali.exe
文件路径:C:\windows\al.ini
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*

saga3721

“TR/VB.Downloader.Gen”[trojan]
“TR/Spy.2289152.4”[trojan]
“TR/Crypt.XPACK.Gen2”[trojan]

hj5abc

MSE
VirTool:WinNT/Popureb.A
PS.MSE报WinNT多是rootkit类的

网名丢失

总之，红伞和小A都杀

bluelily

大蜘蛛清空

z2009

毒霸和红伞均杀之

随缘9688

360网盾下载后也报了

OAKESS

卡巴下载直接被K

a256886572008

http://camas.comodo.com/cgi-bin/submit?file=0e6ef1174681b3836a3f3fd43729a18ac23ea0eb8fd2219301b3296372db4b14

Auto Analysis Verdict
Suspicious+

Suspicious Actions Detected
Creates autorun records
Creates files in windows system directory
Creates system services or drivers
Load system drivers