aeki
2007-08-07, 11:27 PM
解壓縮密碼為: 9999
贊助商連結
贊助商連結
贊助商連結 aeki 2007-08-07, 11:27 PM 解壓縮密碼為: 9999 贊助商連結 ㄚ一 2007-08-08, 12:59 AM 你確定密碼都是9999嗎? aeki 2007-08-08, 09:17 AM 測試過密碼的確為9999,因為我昨晚又解壓縮測試NOD, TmEncryptTemp.rar NOD32 2.7 無法尋獲 抱歉!剛剛測試下載!!發現檔案長度不對!重新傳送了一次! 另外新增了gdxmrslih.rar,就是隨身碟病毒~~卡巴6.X抓不到,NOD32抓到了! pta30 2007-08-08, 10:55 AM http://img510.imageshack.us/img510/5968/kkkwx9.png Roger 2007-08-08, 11:50 AM 運行gdxmrslih.exe,發現下列行為,被EQ-Secure V3.4攔截! 2007-08-08 11:47:39 創建注冊表值 操作:阻止 進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe 注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run 注冊表名稱:Drawing System 觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run* 2007-08-08 11:47:39 創建文件 操作:允許 進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe 文件路徑:C:\Documents and Settings\HungAndy\Application Data\Sandbox\DefaultBox\user\current\Local Settings\Temp\del.bat 觸發規則:所有程序規則->sandboxie->C:\Documents and Settings\HungAndy\Application Data\Sandbox\* 2007-08-08 11:47:40 運行應用程序 操作:阻止 進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe 文件路徑:C:\windows\system32\cmd.exe 命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe 觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe 1.它會創建注冊表值 注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\ Windows\CurrentVersion\Run 注冊表名稱:Drawing System 2.它會生成 C:\Documents and Settings\HungAndy\LocalSettings\Temp\del.bat 3.它會運行C:\windows\system32\cmd.exe 命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe del.bat的結構 @echo off :repeat del "%1" if exist "%1" goto repeat del "C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat" AUTORUN.INF的結構 [AutoRun] open=gdxmrslih.exe shellexecute=gdxmrslih.exe shell\Auto\command=gdxmrslih.exe shell=Auto [VVflagRun] aabb=kdkfjdkfk1 Roger 2007-08-08, 12:21 PM 運行kavo.exe,發現下列行為,被EQ-Secure V3.4攔截! 2007-08-08 12:17:56 修改其它進程內存 操作:阻止 進程路徑:D:\desktop\virus\kavo\kavo.exe 目標進程:C:\Program Files\Internet Explorer\iexplore.exe 觸發規則:所有程序規則->* 2007-08-08 12:17:58 創建文件 操作:允許 進程路徑:D:\desktop\virus\kavo\kavo.exe 文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll 觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll 2007-08-08 12:18:00 創建文件 操作:允許 進程路徑:D:\desktop\virus\kavo\kavo.exe 文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys 觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys 2007-08-08 12:18:00 加載驅動程序 操作:阻止 進程路徑:D:\desktop\virus\kavo\kavo.exe 驅動名稱:g2jy.sys 觸發規則:所有程序規則->* 2007-08-08 12:18:02 修改文件 操作:允許 進程路徑:D:\desktop\virus\kavo\kavo.exe 文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll 觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll 2007-08-08 12:18:03 修改其它進程內存 操作:阻止 進程路徑:D:\desktop\virus\kavo\kavo.exe 目標進程:C:\Program Files\Internet Explorer\iexplore.exe 觸發規則:所有程序規則->* 2007-08-08 12:18:05 創建文件 操作:允許 進程路徑:D:\desktop\virus\kavo\kavo.exe 文件路徑:C:\windows\system32\kavo.exe 觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe 2007-08-08 12:18:07 創建文件 操作:允許 進程路徑:D:\desktop\virus\kavo\kavo.exe 文件路徑:C:\windows\system32\kavo0.dll 觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll 2007-08-08 12:18:08 修改其它進程內存 操作:阻止 進程路徑:D:\desktop\virus\kavo\kavo.exe 目標進程:C:\windows\Explorer.EXE 觸發規則:所有程序規則->* 1.它會修改iexplore.exe的進程內存 2.它會生成 C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys 3.它會加載驅動程序 g2jy.sys 4.它會修改C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll 5.它會修改iexplore.exe的進程內存 6.它會生成 C:\windows\system32\kavo.exe C:\windows\system32\kavo0.dll 7.它會修改Explorer.EXE的進程內存 ellery 2007-08-18, 04:19 PM kavo.exe: http://www.virustotal.com/zh-tw/resultado.html?f9a1fbba49ef0acdf54c0b5bf2c83359 A1224A67C97A.dll: http://www.virustotal.com/zh-tw/resultado.html?0ef22d49ff9d1663817dba21dc78107a gdxmrslih.exe: http://www.virustotal.com/zh-tw/resultado.html?dec24e4a9920a4d22caf4a6a77edb793 TmEncryptTemp.000: http://www.virustotal.com/resultado.html?781f9fa264e5991f684ca29007205d82 |
|