【木馬】【病毒】樣本 kaspersky掃不到

[joexx12]

使用winrar可以解出數個可疑檔案

要執行才會被卡巴偵測到

現在蠻多這類病毒

而且都是朋友信箱被盜用寄來的

解壓縮密碼: virus

[juijui]

解壓之後它會在C:\Program Files\
產生2.bat
inst.exe
inst.txt
Setup.exe及一個資料夾MyPic...裡頭有幾張清涼照...
執行安裝時才偵測到木馬...

Virus or unwanted program 'TR/Crypt.NSPM.Gen [TR/Crypt.NSPM.Gen]'
detected in file 'C:\Program Files\Setup.exe

2008-01-22 22:32:31 執行應用程序 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\test\235\^O^ 好好笑ㄛ.cmd
觸發規則:所有程序規則->*


2008-01-22 22:32:32 執行應用程序 操作:允許
程序路徑:C:\test\235\^O^ 好好笑ㄛ.cmd
檔案路徑:C:\Program Files\inst.exe
觸發規則:所有程序規則->*


2008-01-22 22:32:33 執行應用程序 操作:允許
程序路徑:C:\Program Files\inst.exe
檔案路徑:C:\Program Files\Setup.exe
觸發規則:所有程序規則->*


2008-01-22 22:32:35 執行應用程序 操作:允許
程序路徑:C:\Program Files\Setup.exe
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c 2.bat
觸發規則:所有程序規則->*


2008-01-22 22:32:36 執行應用程序 操作:允許
程序路徑:C:\windows\system32\cmd.exe
檔案路徑:C:\windows\system32\conime.exe
觸發規則:所有程序規則->*


2008-01-22 22:32:50 執行應用程序 操作:允許
程序路徑:C:\Program Files\Setup.exe
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c 2.bat
觸發規則:所有程序規則->*


2008-01-22 22:32:50 安裝全局鈎子 操作:允許
程序路徑:C:\Program Files\Setup.exe
檔案路徑:C:\windows\HELP\F3C74E3FA248.dll
觸發規則:所有程序規則->*


2008-01-22 22:32:50 安裝全局鈎子 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\HELP\F3C74E3FA248.dll
觸發規則:所有程序規則->*


2008-01-22 22:32:50 安裝全局鈎子 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\HELP\F3C74E3FA248.dll
觸發規則:所有程序規則->*


2008-01-22 22:32:50 安裝全局鈎子 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\HELP\F3C74E3FA248.dll
觸發規則:所有程序規則->*


2008-01-22 22:32:51 執行應用程序 操作:允許
程序路徑:C:\Program Files\Setup.exe
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c C:\windows\1.bat
觸發規則:所有程序規則->*


2008-01-22 22:34:07 執行應用程序 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\system32\NOTEPAD.EXE
命令列:C:\Program Files\inst.txt
觸發規則:所有程序規則->*


2008-01-22 22:34:15 執行應用程序 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\system32\cmd.exe
命令列:/c ""C:\Program Files\2.bat" "
觸發規則:所有程序規則->*


2008-01-22 22:34:34 執行應用程序 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\Program Files\inst.exe
觸發規則:所有程序規則->*


2008-01-22 22:34:36 執行應用程序 操作:允許
程序路徑:C:\Program Files\inst.exe
檔案路徑:C:\windows\system32\Setup.exe
觸發規則:所有程序規則->*


2008-01-22 22:34:50 執行應用程序 操作:允許
程序路徑:C:\windows\Explorer.EXE
檔案路徑:C:\windows\system32\rundll32.exe
命令列:C:\windows\system32\shell32.dll,Control_RunDLL C:\windows\system32\appwiz.cpl
觸發規則:所有程序規則->*


2008-01-22 22:35:04 執行應用程序 操作:允許
程序路徑:C:\windows\system32\winlogon.exe
檔案路徑:C:\windows\system32\taskmgr.exe
觸發規則:所有程序規則->*



把防毒關閉來測試~
執行完發現多三個進程...

[juijui]

File ID Filename Size (Byte) Result
3651908 235.rar 207.77 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
3651909 ^O^ #n#n####.cmd 258.74 KB MALWARE


Please find a detailed report concerning each individual sample below:

Filename Result ^O^ #n#n####.cmd MALWARE

The file '^O^ #n#n####.cmd' has been determined to be 'MALWARE'. Our analysts named the threat DR/PSW.OnLineGames.dgg. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates.

[juijui]

還有寄新的嗎??