PDA

【病毒】隨身碟病毒樣本



贊助商連結

頁 : [1] 2
i29686112
2007-10-05, 03:37 PM
剛開始看到以為是kavo..

贊助商連結

proll
2007-10-08, 12:05 AM
Panda已知
[ Mon Oct 08 00:05:15 2007 ] Trj/Lineage.FSQ in \W32.Gammima.AG\ntdelect.com
Roger
2007-10-08, 10:16 PM
2007-10-08 21:54:31 建立檔案 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\sl.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 21:54:39 建立檔案 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\y8j.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 21:54:45 載入驅動程序 操作:封鎖
程序路徑:D:\ntdelect.com
裝置名稱:y8j.sys
觸發規則:所有程序規則->*


2007-10-08 21:54:54 刪除檔案 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\y8j.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 21:55:02 執行應用程序 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 21:55:22 執行應用程序 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\windows\explorer.exe
指令列:D:\
觸發規則:所有程序規則->系統程序->%windir%\explorer.exe


2007-10-08 21:55:33 建立檔案 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 21:55:41 建立檔案 操作:允許
程序路徑:D:\ntdelect.com
檔案路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 21:55:50 建立登錄檔值 操作:允許
程序路徑:D:\ntdelect.com
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:kava
登錄檔數值:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-10-08 21:56:09 建立遠端執行緒 操作:允許
程序路徑:D:\ntdelect.com
目標程序:C:\windows\explorer.exe
觸發規則:所有程序規則->*


2007-10-08 21:56:17 安裝整體掛鉤 操作:封鎖
程序路徑:C:\windows\explorer.exe
檔案路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->*


2007-10-08 21:56:25 執行應用程序 操作:允許
程序路徑:C:\windows\explorer.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 21:56:55 執行應用程序 操作:允許
程序路徑:C:\windows\explorer.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 21:57:06 建立檔案 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 21:57:53 建立檔案 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\2qor.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 21:58:03 執行應用程序 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 21:58:11 建立檔案 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\trhr4.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 21:58:30 載入驅動程序 操作:封鎖
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
裝置名稱:trhr4.sys
觸發規則:所有程序規則->*


2007-10-08 21:58:39 建立檔案 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\windows\system32\ff.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 21:58:48 刪除檔案 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\trhr4.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 21:58:56 執行應用程序 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 21:59:09 建立檔案 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\taso.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 21:59:16 執行應用程序 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\windows\system32\ff.exe
觸發規則:所有程序規則->*


2007-10-08 21:59:28 建立檔案 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\taso0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 21:59:36 建立檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\xr.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 21:59:44 建立登錄檔值 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:tasa
登錄檔數值:C:\DOCUME~1\HUNGJU~1\LOCALS~1\Temp\taso.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-10-08 21:59:54 刪除檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\WINDOWS\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:00:08 修改檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:00:16 建立遠端執行緒 操作:允許
程序路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\cc.exe
目標程序:C:\windows\explorer.exe
觸發規則:所有程序規則->*


2007-10-08 22:00:24 刪除檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\WINDOWS\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 22:00:43 執行應用程序 操作:允許
程序路徑:C:\windows\explorer.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 22:00:53 建立檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 22:00:59 修改登錄檔內容 操作:允許
程序路徑:C:\windows\system32\ff.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:kava
登錄檔數值:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-10-08 22:01:02 修改檔案 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\windows\system32\ff.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:01:24 刪除檔案 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\WINDOWS\system32\ff.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:01:31 建立遠端執行緒 操作:允許
程序路徑:C:\windows\system32\ff.exe
目標程序:C:\windows\explorer.exe
觸發規則:所有程序規則->*


2007-10-08 22:01:33 修改檔案 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\windows\system32\ff.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:01:44 執行應用程序 操作:允許
程序路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
檔案路徑:C:\windows\system32\ff.exe
觸發規則:所有程序規則->*


2007-10-08 22:01:48 修改檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\xr.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 22:02:00 建立檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\0gkmkme.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 22:02:07 載入驅動程序 操作:封鎖
程序路徑:C:\windows\system32\ff.exe
裝置名稱:0gkmkme.sys
觸發規則:所有程序規則->*


2007-10-08 22:02:16 刪除檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\0gkmkme.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-10-08 22:02:26 執行應用程序 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸發規則:所有程序規則->系統程序->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE


2007-10-08 22:02:46 刪除檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\WINDOWS\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:02:49 修改檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-10-08 22:02:57 刪除檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\WINDOWS\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 22:03:05 建立檔案 操作:允許
程序路徑:C:\windows\system32\ff.exe
檔案路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-10-08 22:03:09 修改登錄檔內容 操作:允許
程序路徑:C:\windows\system32\ff.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:kava
登錄檔數值:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-10-08 22:03:27 建立遠端執行緒 操作:允許
程序路徑:C:\windows\system32\ff.exe
目標程序:C:\windows\explorer.exe
觸發規則:所有程序規則->*
neko_chang
2007-10-09, 10:51 PM
endpoint protection可以偵測並解隔離此一病毒,
問題是:為啥他還讓使用者下載?
不是應該在下載的時候就檔掉了嗎=.=a
Fabian C
2007-10-10, 02:39 AM
NOD32下載第一次時,會顯示連線中止,

下載了兩次,才把它下載來,
但解壓後...目錄裡的檔案都不見了..
天氣預報
2007-10-10, 02:19 PM
endpoint protection可以偵測並解隔離此一病毒,
問題是:為啥他還讓使用者下載?
不是應該在下載的時候就檔掉了嗎=.=a

endpoint protection這個是賽門鐵克的那個新的嗎?
i29686112
2007-10-10, 11:21 PM
結果還是kavo阿..

看來還是很多人以為卡巴無敵= =..(kis7.0以為很安全 還是中了
neko_chang
2007-10-11, 12:23 AM
endpoint protection這個是賽門鐵克的那個新的嗎?

恩._.
正在嘗試endpoint protection 11當中。

目前覺得,操作反而沒有之前的client security 3
這麼容易了解=.=a
天氣預報
2007-10-11, 01:32 AM
恩._.
正在嘗試endpoint protection 11當中。

目前覺得,操作反而沒有之前的client security 3
這麼容易了解=.=a

中文版還是英文版?
試用版哪裡有啊?
我想貼在友站
neko_chang
2007-10-11, 04:54 PM
中文版還是英文版?
試用版哪裡有啊?
我想貼在友站

英文版,Symantec已經把原始的beta下載點移除

下面這兒倒是還有@@~
http://www.xpblue.com/soft/7531.htm