這是我不小心下載到的檔案~
我點兩下之後檔案就自動消失了=="

大家幫忙看看吧~
我有上傳樣本~

贊助商連結

McAfee New Malware.br

解壓之後crack.exe馬上被查殺
然後執行剩下來的keygen.exe

2008-01-19 21:23:10 執行應用程序 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c C:\DOCUME~1\JUI\LOCALS~1\Temp\removalfile.bat "C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe"
它想執行cmd.exe可是被我的軟體擋下
我就下指令讓它過看它到底要幹嘛

2008-01-19 21:23:10 執行應用程序 操作:允許
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c C:\DOCUME~1\JUI\LOCALS~1\Temp\removalfile.bat "C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe"
結果是它拼命的注射一些惡意檔進來

2008-01-19 21:23:10 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\ddcdbyx.dll

2008-01-19 21:23:10 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\tuvsrom.dll

2008-01-19 21:23:10 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\gebxvtq.dll

2008-01-19 21:23:10 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\yayyawt.dll

2008-01-19 21:23:11 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\opnlljg.dll

2008-01-19 21:23:12 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\iifgfef.dll

2008-01-19 21:23:12 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\awtrpml.dll

2008-01-19 21:23:13 建立檔案 操作:阻止
程序路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe
檔案路徑:C:\windows\system32\ssqnnkh.dll

2008-01-19 21:23:13 執行應用程序 操作:阻止
程序路徑:C:\windows\system32\cmd.exe
檔案路徑:C:\windows\system32\conime.exe

注射完畢想把自己砍掉
2008-01-19 21:23:13 刪除檔案 操作:阻止
程序路徑:C:\windows\system32\cmd.exe
檔案路徑:C:\test\Apple_Quicktime_Pro_7[1].1.3\keygen.exe


樓主請檢查看看電腦裡，上面說的那幾個地方有沒有多這些檔~

我決定重灌了....因為現在電腦不定時會跳出多個不知名網站的IE視窗~
防毒軟體總是說他很安全的把木馬動作擋下來...= ="

我還沒說的環境，聽了大家大概會驚訝吧~
1. OS: 所有更新檔都已經更新到最新的Vista x86
2. 所有安全設定都已經打開(ex:防毒軟體、防火牆、UAC)，安全中心一直是處在"安全"狀態下，無任何的警示訊息
3. 防毒軟體為最新合法正版的Norton 安全大師 2008
4. 當然，都有定時自動\手動更新病毒碼、防毒軟體~

ps:點兩下keygen.exe or crack.exe執行檔都沒有出現UAC等兩階段的確認視窗!!

最後，我重灌後要不要繼續使用這樣的"安全環境"呢?
答案是肯定的，因為這都適用血汗錢買來的，還是得繼續使用，直到防毒軟體到期或是有更新版的Windows OS 出現~

再附註個人心得:
除了建構安全的使用環境之外，還是要有安全的使用習慣，因為防毒軟體不見得可以百分之百偵測到病毒!!!

感謝各位先進的意見和資訊~^^"

f-prot
[Found possible security risk] <W32/Heuristic-162!Eldorado (not disinfectable)> \Apple_Quicktime_Pro_7.1.3\crack.exe->(PecBundle)->(PECompact)

panda
[ Mon Jan 21 00:12:34 2008 ] Suspicious file \Apple_Quicktime_Pro_7.1.3\crack.exe


dr.web
\Apple_Quicktime_Pro_7.1.3\code71292.txt - Ok
\Apple_Quicktime_Pro_7.1.3\crack.exe infected with Trojan.Mezzia.84
\Apple_Quicktime_Pro_7.1.3\keygen.exe - Ok

你可以加裝HIPS軟體
因為沒有防毒能100%抓到全部病毒的
特別是在第一時間

File ID Filename Size (Byte) Result
3650079 Apple_Quicktime_P....3.rar 78.95 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
3650080 code71292.txt 78 Byte CLEAN
3650081 keygen.exe 51 KB MALWARE
3650082 crack.exe 36.5 KB MALWARE


Please find a detailed report concerning each individual sample below:

Filename Result code71292.txt CLEAN

The file 'code71292.txt' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
Filename Result keygen.exe MALWARE

The file 'keygen.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Drop.Agent.cxq. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
Filename Result crack.exe MALWARE

The file 'crack.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.PEC2X.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This malware is detected by a special detection routine from the engine module.

很好= =
Symantec Endpoint Protection 跟貓說找不到問題= =~

我同學有用Norton 企業版掃過...一樣是掃不出來~= ="

回報吧
不回報永遠也掃不到