解壓縮密碼為: 9999
解壓縮密碼為: 9999
此文章於 2007-08-08 09:20 AM 被 aeki 編輯。
你確定密碼都是9999嗎?
測試過密碼的確為9999,因為我昨晚又解壓縮測試NOD,
TmEncryptTemp.rar NOD32 2.7 無法尋獲
抱歉!剛剛測試下載!!發現檔案長度不對!重新傳送了一次!
另外新增了gdxmrslih.rar,就是隨身碟病毒~~卡巴6.X抓不到,NOD32抓到了!
此文章於 2007-08-08 09:22 AM 被 aeki 編輯。
運行gdxmrslih.exe,發現下列行為,被EQ-Secure V3.4攔截!
1.它會創建注冊表值2007-08-08 11:47:39 創建注冊表值 操作:阻止
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Run
注冊表名稱:Drawing System
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2007-08-08 11:47:39 創建文件 操作:允許
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
文件路徑:C:\Documents and Settings\HungAndy\Application Data\Sandbox\DefaultBox\user\current\Local Settings\Temp\del.bat
觸發規則:所有程序規則->sandboxie->C:\Documents and Settings\HungAndy\Application Data\Sandbox\*
2007-08-08 11:47:40 運行應用程序 操作:阻止
進程路徑:D:\desktop\virus\gdxmrslih\gdxmrslih.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe
注冊表路徑:HKEY_CURRENT_USER\machine\software\microsoft\
Windows\CurrentVersion\Run
注冊表名稱:Drawing System
2.它會生成
C:\Documents and Settings\HungAndy\LocalSettings\Temp\del.bat
3.它會運行C:\windows\system32\cmd.exe
命令行:/c C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat D:\desktop\virus\gdxmrslih\gdxmrslih.exe
del.bat的結構
AUTORUN.INF的結構@echo off
:repeat
del "%1"
if exist "%1" goto repeat
del "C:\DOCUME~1\HungAndy\LOCALS~1\Temp\del.bat"
[AutoRun]
open=gdxmrslih.exe
shellexecute=gdxmrslih.exe
shell\Auto\command=gdxmrslih.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
此文章於 2007-08-08 11:53 AM 被 Roger 編輯。
運行kavo.exe,發現下列行為,被EQ-Secure V3.4攔截!
1.它會修改iexplore.exe的進程內存2007-08-08 12:17:56 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*
2007-08-08 12:17:58 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:00 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys
2007-08-08 12:18:00 加載驅動程序 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
驅動名稱:g2jy.sys
觸發規則:所有程序規則->*
2007-08-08 12:18:02 修改文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:03 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:所有程序規則->*
2007-08-08 12:18:05 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe
2007-08-08 12:18:07 創建文件 操作:允許
進程路徑:D:\desktop\virus\kavo\kavo.exe
文件路徑:C:\windows\system32\kavo0.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll
2007-08-08 12:18:08 修改其它進程內存 操作:阻止
進程路徑:D:\desktop\virus\kavo\kavo.exe
目標進程:C:\windows\Explorer.EXE
觸發規則:所有程序規則->*
2.它會生成
C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
C:\Documents and Settings\HungAndy\Local Settings\Temp\g2jy.sys
3.它會加載驅動程序
g2jy.sys
4.它會修改C:\Documents and Settings\HungAndy\Local Settings\Temp\4lcwb.dll
5.它會修改iexplore.exe的進程內存
6.它會生成
C:\windows\system32\kavo.exe
C:\windows\system32\kavo0.dll
7.它會修改Explorer.EXE的進程內存
kavo.exe:
http://www.virustotal.com/zh-tw/resu...4c0b5bf2c83359
A1224A67C97A.dll:
http://www.virustotal.com/zh-tw/resu...7dba21dc78107a
gdxmrslih.exe:
http://www.virustotal.com/zh-tw/resu...af4a6a77edb793
TmEncryptTemp.000:
http://www.virustotal.com/resultado....4ca29007205d82
書籤