收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 问人要的------------------------4个样本
12下一页
返回列表 发新帖
查看: 3623|回复: 14
收起左侧

[病毒样本] 问人要的------------------------4个样本

[复制链接]
baibao578
发表于 2011-6-1 13:51:38 | 显示全部楼层 |阅读模式
此人说过360,不过看在线扫描,确实是过了BD,但是没过红伞,360整合红伞引擎的优势出来了。

VirSCAN测试结果如下:
1号样本GHUTO.RAR:13/37 过BD、大蜘蛛、G-Data、MSE、卡巴、江民、瑞星、金山(此人说不过,估计是没过云) 、诺顿。   
http://www.virscan.org/report/83 ... 05d405c644adfe.html

2号样本BRC9227_Setup.rar :14/37 过A2、大蜘蛛、G-Data、MSE、卡巴、江民、瑞星、金山(见上面括号)、诺顿。
http://www.virscan.org/report/79 ... 53e2a9952c7dd1.html

3号样本101.rar:15/37 和2号差不多,像是2号处理过的样本。
http://www.virscan.org/report/2c ... 437c87e1722fda.html

4号样本a.rar:12/37 同3号。
http://www.virscan.org/report/c4 ... fe593cda5ac2ae.html



样本下载:






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

VISN
发表于 2011-6-1 13:55:52 | 显示全部楼层
金山毒霸全灭4个样本
回复

举报

ppy0606
发表于 2011-6-1 14:09:11 | 显示全部楼层
本帖最后由 ppy0606 于 2011-6-1 14:10 编辑

2011-6-1 14:01:45    修改文件    允许
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\krnln.fnr
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\101\101.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:01:45    修改文件    允许
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\Exmlrpc.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\101\101.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:01:45    修改文件    允许
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\dp1.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\101\101.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:01:46    修改文件    阻止
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Program Files\Sesisonir.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:01:46    修改文件    阻止
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Program Files\Sesisonir.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:01:46    修改文件    阻止
进程: d:\我的文档\virus test\101\101.exe
目标: C:\Program Files\Sesisonir.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:01:46    创建新进程    阻止
进程: d:\我的文档\virus test\101\101.exe
目标: c:\program files\sesisonir.exe
命令行: "C:\Program Files\Sesisonir.exe"
规则: [应用程序组]●研磨

2011-6-1 14:01:46    创建文件    阻止
进程: d:\我的文档\virus test\101\101.exe
目标: C:\101.exe_And xMe.bat
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\

······························································

2011-6-1 14:02:23    修改文件    允许
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\krnln.fnr
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\a\a.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:02:23    修改文件    允许
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\Exmlrpc.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\a\a.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:02:23    修改文件    允许
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\E_4\dp1.fne
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\a\a.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-6-1 14:02:23    创建文件    阻止
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Program Files\Zuoescooi.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:02:23    创建文件    阻止
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Program Files\Zuoescooi.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:02:23    创建文件    阻止
进程: d:\我的文档\virus test\a\a.exe
目标: C:\Program Files\Zuoescooi.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-6-1 14:02:23    创建文件    阻止
进程: d:\我的文档\virus test\a\a.exe
目标: C:\a.exe_And xMe.bat
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\

····················································

2011-6-1 14:03:27    创建新进程    允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\virus test\ghuto\ghuto.exe
命令行: "D:\我的文档\virus test\GHUTO\GHUTO.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-6-1 14:03:29    创建文件    允许
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: D:\入侵.exe
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:03:29    修改文件    阻止
进程: c:\windows\system32\svchost.exe
目标: C:\System Volume Information\_restore{2794ECD6-1483-44B4-9DFA-B5E26AFE14DE}\drivetable.txt
规则: [文件组]限制写入组 -> [文件]?:\system volume information\*

2011-6-1 14:03:31    创建文件    允许
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: D:\BRC9227_Setup.exe
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:03:31    修改文件    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-1 14:03:31    修改文件    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-1 14:03:31    修改文件    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-1 14:03:31    修改文件    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-1 14:03:35    修改注册表值    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\9eyes.PPY\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-1 14:03:36    修改注册表值    阻止
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\9eyes.PPY\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-1 14:03:38    创建新进程    允许
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: d:\入侵.exe
命令行: "D:\入侵.exe"
规则: [应用程序]*

2011-6-1 14:03:41    创建新进程    允许
进程: d:\我的文档\virus test\ghuto\ghuto.exe
目标: d:\brc9227_setup.exe
命令行: "D:\BRC9227_Setup.exe"
规则: [应用程序]*

2011-6-1 14:03:44    创建文件    允许
进程: d:\brc9227_setup.exe
目标: C:\Program Files\Yovzureuv.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-6-1 14:03:47    修改文件    允许
进程: d:\brc9227_setup.exe
目标: C:\Program Files\Yovzureuv.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-6-1 14:03:50    创建新进程    允许
进程: d:\brc9227_setup.exe
目标: c:\program files\yovzureuv.exe
命令行: "C:\Program Files\Yovzureuv.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\program files\*

2011-6-1 14:03:51    创建文件    允许
进程: c:\program files\yovzureuv.exe
目标: C:\Program Files\Yovzureuv.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-6-1 14:03:53    创建文件    允许
进程: d:\brc9227_setup.exe
目标: C:\BRC9227_Setup.exe_And xMe.bat
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:03:55    修改文件    允许
进程: c:\program files\yovzureuv.exe
目标: C:\Program Files\Yovzureuv.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-6-1 14:03:56    修改文件    允许
进程: d:\brc9227_setup.exe
目标: C:\BRC9227_Setup.exe_And xMe.bat
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:03:58    创建新进程    允许
进程: d:\brc9227_setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c "c:\BRC9227_Setup.exe_And xMe.bat"
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

2011-6-1 14:03:59    创建新进程    阻止
进程: c:\program files\yovzureuv.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\program files\internet explorer\*

2011-6-1 14:04:01    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\windows\*

··············································

2011-6-1 14:05:26    修改注册表值    阻止
进程: f:\program files\haozip\haozip.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\9eyes.PPY\Application Data
规则: [应用程序组]cx本地(禁) -> [注册表组]阻止

2011-6-1 14:05:36    创建新进程    允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
命令行: "D:\我的文档\virus test\BRC9227_Setup\BRC9227_Setup.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-6-1 14:05:38    创建文件    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: C:\Program Files\Mcnevucrs.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-6-1 14:05:39    修改文件    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: C:\Program Files\Mcnevucrs.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-6-1 14:05:42    创建新进程    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: c:\program files\mcnevucrs.exe
命令行: "C:\Program Files\Mcnevucrs.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\program files\*

2011-6-1 14:05:44    创建文件    允许
进程: c:\program files\mcnevucrs.exe
目标: C:\Program Files\Mcnevucrs.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-6-1 14:05:45    修改文件    允许
进程: c:\program files\mcnevucrs.exe
目标: C:\Program Files\Mcnevucrs.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-6-1 14:05:46    创建文件    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: C:\BRC9227_Setup.exe_And xMe.bat
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:05:47    修改文件    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: C:\BRC9227_Setup.exe_And xMe.bat
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-1 14:05:48    创建新进程    允许
进程: c:\program files\mcnevucrs.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\program files\internet explorer\*

2011-6-1 14:05:49    创建新进程    允许
进程: d:\我的文档\virus test\brc9227_setup\brc9227_setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c "c:\BRC9227_Setup.exe_And xMe.bat"
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe



都差不多····

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

aaaaoooo
头像被屏蔽
发表于 2011-6-1 14:17:57 | 显示全部楼层
1,2,3过360SD.
金山卫士4个都杀~
回复

举报

baibao578
 楼主| 发表于 2011-6-1 14:18:33 | 显示全部楼层
aaaaoooo 发表于 2011-6-1 14:17
1,2,3过360SD.
金山卫士4个都杀~

换带红伞引擎的就不会过了。
回复

举报

aaaaoooo
头像被屏蔽
发表于 2011-6-1 14:20:05 | 显示全部楼层
baibao578 发表于 2011-6-1 14:18
换带红伞引擎的就不会过了。

红伞会比BD厉害吗????
回复

举报

baibao578
 楼主| 发表于 2011-6-1 14:21:30 | 显示全部楼层
aaaaoooo 发表于 2011-6-1 14:20
红伞会比BD厉害吗????

这4个样本的在线扫描是过了BD没过红伞,360有5引擎版本的,就是BD+红伞。
回复

举报

414447992
发表于 2011-6-1 14:23:42 | 显示全部楼层
是过了BD
回复

举报

aaaaoooo
头像被屏蔽
发表于 2011-6-1 14:24:27 | 显示全部楼层
baibao578 发表于 2011-6-1 14:21
这4个样本的在线扫描是过了BD没过红伞,360有5引擎版本的,就是BD+红伞。

5引擎会不会太卡呢???在哪里下5引擎的360呢????
回复

举报

留侯
发表于 2011-6-1 14:28:38 | 显示全部楼层
大蜘蛛均clean,文件加了殼,製作方式幾乎完全一樣。

a.exe - archive BINARYRE
a.exe/data001 packed by ZLIB
a.exe/data001 - archive BINARYRES
a.exe/data001/data001 packed by ZLIB
a.exe/data001/data001 - archive BINARYRES
a.exe/data002 packed by FLYSFX
a.exe/data002 - archive BINARYRES
a.exe/data002/krnln.fnr packed by UPX

101.exe - archive BINARYRES
101.exe/data001 packed by ZLIB
101.exe/data001 - archive BINARYRES
101.exe/data001/data001 packed by ZLIB
101.exe/data001/data001 - archive BINARYRES
101.exe/data002 packed by FLYSFX
101.exe/data002 - archive BINARYRES
101.exe/data002/krnln.fnr packed by UPX

BRC9227_Setup.exe - archive BINARYRES
BRC9227_Setup.exe/data001 packed by ZLIB
BRC9227_Setup.exe/data001 - archive BINARYRES
BRC9227_Setup.exe/data001/data001 packed by ZLIB
BRC9227_Setup.exe/data001/data001 - archive BINARYRES
BRC9227_Setup.exe/data002 packed by FLYSFX
BRC9227_Setup.exe/data002 - archive BINARYRES
BRC9227_Setup.exe/data002/krnln.fnr packed by UPX

GHUTO.exe - archive NSIS
GHUTO.exe/BRC9227_Setup.exe - archive BINARYRES
GHUTO.exe/BRC9227_Setup.exe/data001 packed by ZLIB
GHUTO.exe/BRC9227_Setup.exe/data001 - archive BINARYRES
GHUTO.exe/BRC9227_Setup.exe/data001/data001 packed by ZLIB
GHUTO.exe/BRC9227_Setup.exe/data001/data001 - archive BINARYRES
GHUTO.exe/BRC9227_Setup.exe/data002 packed by FLYSFX
GHUTO.exe/BRC9227_Setup.exe/data002 - archive BINARYRES
GHUTO.exe/BRC9227_Setup.exe/data002/krnln.fnr packed by UPX

已上報!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-15 14:31 , Processed in 0.130013 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表