【木馬】今天在YAHOO抓的木馬

今天在YAHOO抓的木馬
掃不到就回報吧

咦...
我下載後解不開?

趨勢還是掃的到

[QUOTE=iorittn;972614]咦...
我下載後解不開?[/QUOTE]

檔案OK啊~

nod32 有偵測到~下載失敗.

這個如附件的檔案也是我朋友的yahoo信箱中毒後，
發給我然後被我的NOD32抓到，
目前好像Norton和卡巴都無法攔截。

以下附件123.rar為病毒檔案，請小心研究。

[QUOTE=redchamber;972734]這個如附件的檔案也是我朋友的yahoo信箱中毒後，
發給我然後被我的NOD32抓到，
目前好像Norton和卡巴都無法攔截。

以下附件123.rar為病毒檔案，請小心研究。[/QUOTE]
運行6.exe，發現下列行為，被EQ-Secure RC3攔截！
[QUOTE]2007-07-03 07:52:22 運行應用程序 操作:允許
進程路徑:C:\windows\Explorer.EXE
文件路徑:D:\桌面\virus\redchamber123\123\6.exe
規則:應用程序規則->系統程序->%windir%\Explorer.EXE


2007-07-03 07:52:24 安裝服務或者驅動 操作:阻止
進程路徑:C:\windows\system32\services.exe
文件路徑:\SystemRoot\System32\drivers\ws2ifsl.sys
規則:所有程序規則->籵蚚刲坰adware.roogoo(瓷馮)->*\ws2ifsl.sys


2007-07-03 07:52:24 修改注冊表內容 操作:阻止
進程路徑:C:\windows\system32\services.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vGADown
注冊表名稱:[Key]
規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2007-07-03 07:52:24 底層磁盤操作 操作:阻止
進程路徑:D:\桌面\virus\redchamber123\123\6.exe

規則:所有程序規則->*


2007-07-03 07:52:24 底層磁盤操作 操作:阻止
進程路徑:D:\桌面\virus\redchamber123\123\6.exe

規則:所有程序規則->*


[/QUOTE]
1.他會利用services.exe安裝服務或者驅動
\SystemRoot\System32\drivers\ws2ifsl.sys
2.他會利用services.exe修改注冊表內容
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vGADown
[Key]
3.他會運行底層磁盤操作

我把6.exe在sandboxie的生成物上傳，供大家測試:)

天氣兄和roger的卡巴6都測到了
呵呵

奇怪.....
最近我都無法下載各位提供的樣本
是我FF的問題還是???