【木馬】2007-08-08MSN傳來img1756.zip

[Roger]

運行img1756.scr，發現下列行為，被EQ-Secure V3.4攔截！

引用:

2007-08-08 08:48:45 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:D:\desktop\virus\img1756\img1756.scr
命令行:/S
觸發規則:所有程序規則->*


2007-08-08 08:48:46 修改其它進程內存 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
目標進程:D:\desktop\virus\img1756\img1756.scr
觸發規則:所有程序規則->*

2007-08-08 08:48:54 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat


2007-08-08 08:48:54 運行應用程序 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe


2007-08-08 08:48:55 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*


2007-08-08 08:48:57 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2007-08-08 08:48:57 創建注冊表值 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2007-08-08 08:48:58 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*


2007-08-08 08:49:00 運行應用程序 操作:允許
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*


2007-08-08 08:49:02 修改其它進程內存 操作:允許
進程路徑:C:\windows\svchost.exe
目標進程:C:\windows\svchost.exe
觸發規則:所有程序規則->*

2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat


2007-08-08 08:49:13 運行應用程序 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe


2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*


2007-08-08 08:49:34 運行應用程序 操作:阻止
進程路徑:C:\windows\system32\svchost.exe
文件路徑:C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding
觸發規則:所有程序規則->*

1.它會運行自己
命令行:/S
2.它會修改自己的進程內存
3.它會生成
C:\a.bat
4.它會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
5.它會生成
C:\windows\img1756.zip
C:\windows\svchost.exe
6.它會創建注冊表值
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
7.它會運行C:\windows\svchost.exe
8.svchost.exe會運行自己
9.svchost.exe會修改自己的進程內存
10.svchost.exe會修改C:\a.bat
11.svchost.exe會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
12.svchost.exe會修改C:\windows\img1756.zip
13.正牌的svchost.exe會運行C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding

a.bat的結構

引用:

@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat

[pta30]

[jwxie]

不禁是1756
目前叫images.zip也有
剛剛朋友send給我, 不過我早知道這肯定是病毒而已
這次看來一次性爆發?

[jwxie]

剛剛用KIS

Kaspersky Internet Security 6.0

The requested URL http://www.pczone.com.tw/vbb3/attach...254.attachment is infected with Backdoor.Win32.SdBot.aad virus


真好用

[t105]

Norton AntiVirus 2005 查的結果 ！ 病毒碼 2007.8.07

檔案 img1756.scr 位於 C:\WINDOWS\Desktop\可疑危險程式區\img1756.zip 感染了 W32.Scrimge.A 病毒。

[DarkSkyline]

AntiVir PersonalEdition Classic 發現"WORM/sdbot.4984.42"病毒~

[boldspirit]

NOD32 2450有抓到

[a34021501]

還沒下載KIS6.0就發現病毒了^^
檔案 包含 特洛伊木馬程式 「Backdoor.Win32.SdBot.aad」。建議
您終止下載。

[i29686112]

朋友只有給我訊息而已

都沒給我病毒本體 囧..

[proll]

f-prot
[Found security risk] <W32/Tibs.WN (exact)> \img1756\img1756.scr

panda掛