解壓縮密碼為: 9999

贊助商連結

你確定密碼都是9999嗎?

測試過密碼的確為9999，因為我昨晚又解壓縮測試NOD，

TmEncryptTemp.rar NOD32 2.7 無法尋獲

抱歉！剛剛測試下載！！發現檔案長度不對！重新傳送了一次！

另外新增了gdxmrslih.rar，就是隨身碟病毒～～卡巴6.X抓不到，NOD32抓到了！

http://img510.imageshack.us/img510/5968/kkkwx9.png

運行gdxmrslih.exe，發現下列行為，被EQ-Secure V3.4攔截！

2007-08-08 11:47:39 創建注冊表值 操作:阻止
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run
注冊表名稱:Drawing System
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-08-08 11:47:39 創建文件 操作:允許
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
文件路徑:C:\Documents and Settings\HungAndy\Application Data\Sandbox\DefaultBox\user\current\Local Settings\Temp\del.bat
觸發規則:所有程序規則->sandboxie->C:\Documents and Settings\HungAndy\Application Data\Sandbox\*


2007-08-08 11:47:40 運行應用程序 操作:阻止
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe

1.它會創建注冊表值
注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\
Windows\CurrentVersion\Run
注冊表名稱:Drawing System
2.它會生成
C:\Documents and Settings\HungAndy\LocalSettings\Temp\del.bat
3.它會運行C:\windows\system32\cmd.exe
命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe

del.bat的結構

@echo off
:repeat
del "%1"
if exist "%1" goto repeat
del "C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat"

AUTORUN.INF的結構

[AutoRun]
open=gdxmrslih.exe
shellexecute=gdxmrslih.exe
shell\Auto\command=gdxmrslih.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

運行kavo.exe，發現下列行為，被EQ-Secure V3.4攔截！

2007-08-08 12:17:56 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*


2007-08-08 12:17:58 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-08-08 12:18:00 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-08-08 12:18:00 加載驅動程序 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
驅動名稱:g2jy.sys
觸發規則:所有程序規則->*


2007-08-08 12:18:02 修改文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-08-08 12:18:03 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*

2007-08-08 12:18:05 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-08-08 12:18:07 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-08-08 12:18:08 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\windows\Explorer.EXE
觸發規則:所有程序規則->*

1.它會修改iexplore.exe的進程內存
2.它會生成
C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
3.它會加載驅動程序
g2jy.sys
4.它會修改C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
5.它會修改iexplore.exe的進程內存
6.它會生成
C:\windows\system32\kavo.exe
C:\windows\system32\kavo0.dll
7.它會修改Explorer.EXE的進程內存

kavo.exe:
http://www.virustotal.com/zh-tw/resultado.html?f9a1fbba49ef0acdf54c0b5bf2c83359

A1224A67C97A.dll:
http://www.virustotal.com/zh-tw/resultado.html?0ef22d49ff9d1663817dba21dc78107a

gdxmrslih.exe:
http://www.virustotal.com/zh-tw/resultado.html?dec24e4a9920a4d22caf4a6a77edb793

TmEncryptTemp.000:
http://www.virustotal.com/resultado.html?781f9fa264e5991f684ca29007205d82