PDA

【病毒】[08-01-22]可疑樣本



贊助商連結

juijui
2008-01-22, 08:44 PM
目前過全世界的防毒 :|||:
樣本儘供測試分析使用
結果: 0/32 (0.00%)
AhnLab-V3 2008.1.22.11 2008.01.22 -
AntiVir 7.6.0.48 2008.01.21 -
Authentium 4.93.8 2008.01.22 -
Avast 4.7.1098.0 2008.01.21 -
AVG 7.5.0.516 2008.01.21 -
BitDefender 7.2 2008.01.22 -
CAT-QuickHeal 9.00 2008.01.21 -
ClamAV 0.91.2 2008.01.22 -
DrWeb 4.44.0.09170 2008.01.21 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5475 2008.01.21 -
Ewido 4.0 2008.01.21 -
FileAdvisor 1 2008.01.22 -
Fortinet 3.14.0.0 2008.01.22 -
F-Prot 4.4.2.54 2008.01.21 -
F-Secure 6.70.13260.0 2008.01.22 -
Ikarus T3.1.1.20 2008.01.22 -
Kaspersky 7.0.0.125 2008.01.22 -
McAfee 5212 2008.01.21 -
Microsoft 1.3109 2008.01.22 -
NOD32v2 2813 2008.01.22 -
Norman 5.80.02 2008.01.21 -
Panda 9.0.0.4 2008.01.21 -
Prevx1 V2 2008.01.22 -
Rising 20.28.10.00 2008.01.22 -
Sophos 4.24.0 2008.01.22 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.22 -
TheHacker 6.2.9.193 2008.01.22 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 -
Webwasher-Gateway 6.6.2 2008.01.21 -
-----------------------------------------------------------------------------------------------------------------------------------------

2008-01-12 03:41:04 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe
觸發規則:所有程式規則->*

2008-01-12 03:41:05 創建檔案 操作:允許
程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe
檔案路徑:C:\Documents and Settings\Administrator\Local Settings\Temp\~DFD1C4.tmp
觸發規則:黑名單->all->*

2008-01-12 03:41:07 創建檔案 操作:允許
程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe
檔案路徑:C:\Documents and Settings\Administrator\桌面\1.bat
觸發規則:黑名單->all->*

2008-01-12 03:41:07 執行應用程式 操作:允許
程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
命令列:/c 1.bat
觸發規則:所有程式規則->*

2008-01-12 03:41:08 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\conime.exe
觸發規則:所有程式規則->*

2008-01-12 03:41:08 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\taskkill.exe
命令列:/f /im explorer.exe
觸發規則:所有程式規則->*

2008-01-12 03:41:14 創建檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\李毒(QQ170912556).EXE-2A23FE8D.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:17 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:18 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\CONIME.EXE-13EEEA1A.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:18 創建檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:18 結束/掛載程序 操作:封鎖
程序路徑:C:\WINDOWS\system32\taskkill.exe
目標程序:C:\WINDOWS\Explorer.EXE
觸發規則:所有程式規則->*

2008-01-12 03:41:18 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\taskkill.exe
命令列:/f /im iexplorer.exe
觸發規則:所有程式規則->*

2008-01-12 03:41:19 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\taskkill.exe
命令列:/f /im taskmgr.exe
觸發規則:所有程式規則->*

2008-01-12 03:41:19 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:20 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:20 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:20 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:20 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:21 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:21 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:21 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:21 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smss.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:22 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:22 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smss.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:22 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:22 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:22 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:22 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:22 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf
觸發規則:黑名單->all->*

2008-01-12 03:41:22 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:22 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\services.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:23 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\services.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:23 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsass.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:23 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsass.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:23 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:23 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:23 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regsvc.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:23 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regsvc.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:23 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe " /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:24 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:24 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstask.exe " /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:24 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstask.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:24 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\reg.exe
命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /v debugger /t reg_sz /d debugfile.exe /f
觸發規則:所有程式規則->*

2008-01-12 03:41:24 建立登錄檔值 操作:允許
程序路徑:C:\WINDOWS\system32\reg.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe
登錄檔名稱:[Key]
觸發規則:黑名單->all->*

2008-01-12 03:41:24 執行應用程式 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\shutdown.exe
命令列:-r -t 59 -c "斕腔萇齟眒冪俙俇賸"
觸發規則:所有程式規則->*

2008-01-12 03:41:25 修改檔案 操作:允許
程序路徑:C:\WINDOWS\System32\svchost.exe
檔案路徑:C:\WINDOWS\Prefetch\SHUTDOWN.EXE-12DAD820.pf
觸發規則:黑名單->all->*

執行完之後電腦掛點...哈哈哈~
被倒數關機之後重開機 BUT 重開機後出現下面這情形 AND 再度重開機,重開機動作陷入無限循環中

贊助商連結

juijui
2008-01-22, 08:46 PM
網友幫忙測試的圖...
jim1960
2008-01-22, 10:24 PM
KIS v7.0.0.125 1/22/2008
點擊下載即出現:
琥珀
2008-01-22, 10:35 PM
影像劫持的確會帶來困擾。有些合法的程式,例如 Process Explorer,就是用此方法來取代原本的工作管理員。

只要在 60 秒內取消關機,然後刪除那些被劫持的登錄項目,重開機就沒問題了。(作者太好心了。應該要刪除 shutdown.exe 檔案,或是將時間縮短為 5 秒,讓用戶措手不及。)
juijui
2008-01-22, 11:19 PM
目前有二家入毒庫
Kaspersky
Rising
dxchen
2008-01-23, 12:05 PM
AntiVir Premium版 觸發調最高scan還是沒掃到!! :jump2:
juijui
2008-01-23, 10:58 PM
昨天回報紅傘官網...
得到的結果卻是...
File ID Filename Size (Byte) Result
3651598 qq170912556.rar 4.44 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
3651599 ####(qq170912556).exe 40 KB CLEAN


Please find a detailed report concerning each individual sample below:

Filename Result ####(qq170912556).exe CLEAN

The file '####(qq170912556).exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

真是太不可思議了~:|||:

經多方回報及溝通...
官網於今天的回報如下

File ID Filename Size (Byte) Result
3651598 qq170912556.rar 4.44 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
3651599 ####(qq170912556).exe 40 KB MALWARE


Please find a detailed report concerning each individual sample below:

Filename Result
####(qq170912556).exe MALWARE

The file '####(qq170912556).exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/VB.KE. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.