【木馬】今天在YAHOO抓的木馬

[天氣預報]

今天在YAHOO抓的木馬
掃不到就回報吧

[iorittn]

咦...
我下載後解不開?

[harry_chang2003]

趨勢還是掃的到

[天氣預報]

咦...
我下載後解不開?

檔案OK啊~

[skeepy]

nod32 有偵測到~下載失敗.

[redchamber]

這個如附件的檔案也是我朋友的yahoo信箱中毒後，
發給我然後被我的NOD32抓到，
目前好像Norton和卡巴都無法攔截。

以下附件123.rar為病毒檔案，請小心研究。

[Roger]

這個如附件的檔案也是我朋友的yahoo信箱中毒後，
發給我然後被我的NOD32抓到，
目前好像Norton和卡巴都無法攔截。

以下附件123.rar為病毒檔案，請小心研究。

運行6.exe，發現下列行為，被EQ-Secure RC3攔截！

2007-07-03 07:52:22 運行應用程序 操作:允許
進程路徑:C:\windows\Explorer.EXE
文件路徑:D:\桌面\virus\redchamber123\123\6.exe
規則:應用程序規則->系統程序->%windir%\Explorer.EXE


2007-07-03 07:52:24 安裝服務或者驅動 操作:阻止
進程路徑:C:\windows\system32\services.exe
文件路徑:\SystemRoot\System32\drivers\ws2ifsl.sys
規則:所有程序規則->籵蚚刲坰adware.roogoo(瓷馮)->*\ws2ifsl.sys


2007-07-03 07:52:24 修改注冊表內容 操作:阻止
進程路徑:C:\windows\system32\services.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vGADown
注冊表名稱:[Key]
規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2007-07-03 07:52:24 底層磁盤操作 操作:阻止
進程路徑:D:\桌面\virus\redchamber123\123\6.exe

規則:所有程序規則->*


2007-07-03 07:52:24 底層磁盤操作 操作:阻止
進程路徑:D:\桌面\virus\redchamber123\123\6.exe

規則:所有程序規則->*

1.他會利用services.exe安裝服務或者驅動
\SystemRoot\System32\drivers\ws2ifsl.sys
2.他會利用services.exe修改注冊表內容
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vGADown
[Key]
3.他會運行底層磁盤操作

[Roger]

我把6.exe在sandboxie的生成物上傳，供大家測試

[jwxie]

天氣兄和roger的卡巴6都測到了
呵呵

[iorittn]

奇怪.....
最近我都無法下載各位提供的樣本
是我FF的問題還是???