會員 ![]() | 【病毒】[08-01-22]可疑樣本 目前過全世界的防毒 ![]() 樣本儘供測試分析使用 結果: 0/32 (0.00%) AhnLab-V3 2008.1.22.11 2008.01.22 - AntiVir 7.6.0.48 2008.01.21 - Authentium 4.93.8 2008.01.22 - Avast 4.7.1098.0 2008.01.21 - AVG 7.5.0.516 2008.01.21 - BitDefender 7.2 2008.01.22 - CAT-QuickHeal 9.00 2008.01.21 - ClamAV 0.91.2 2008.01.22 - DrWeb 4.44.0.09170 2008.01.21 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5475 2008.01.21 - Ewido 4.0 2008.01.21 - FileAdvisor 1 2008.01.22 - Fortinet 3.14.0.0 2008.01.22 - F-Prot 4.4.2.54 2008.01.21 - F-Secure 6.70.13260.0 2008.01.22 - Ikarus T3.1.1.20 2008.01.22 - Kaspersky 7.0.0.125 2008.01.22 - McAfee 5212 2008.01.21 - Microsoft 1.3109 2008.01.22 - NOD32v2 2813 2008.01.22 - Norman 5.80.02 2008.01.21 - Panda 9.0.0.4 2008.01.21 - Prevx1 V2 2008.01.22 - Rising 20.28.10.00 2008.01.22 - Sophos 4.24.0 2008.01.22 - Sunbelt 2.2.907.0 2008.01.17 - Symantec 10 2008.01.22 - TheHacker 6.2.9.193 2008.01.22 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.21 - Webwasher-Gateway 6.6.2 2008.01.21 - ----------------------------------------------------------------------------------------------------------------------------------------- 2008-01-12 03:41:04 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\Explorer.EXE 檔案路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe 觸發規則:所有程式規則->* 2008-01-12 03:41:05 創建檔案 操作:允許 程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe 檔案路徑:C:\Documents and Settings\Administrator\Local Settings\Temp\~DFD1C4.tmp 觸發規則:黑名單->all->* 2008-01-12 03:41:07 創建檔案 操作:允許 程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe 檔案路徑:C:\Documents and Settings\Administrator\桌面\1.bat 觸發規則:黑名單->all->* 2008-01-12 03:41:07 執行應用程式 操作:允許 程序路徑:C:\Documents and Settings\Administrator\桌面\李毒(qq170912556).exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 命令列:/c 1.bat 觸發規則:所有程式規則->* 2008-01-12 03:41:08 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\conime.exe 觸發規則:所有程式規則->* 2008-01-12 03:41:08 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\taskkill.exe 命令列:/f /im explorer.exe 觸發規則:所有程式規則->* 2008-01-12 03:41:14 創建檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\李毒(QQ170912556).EXE-2A23FE8D.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:17 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:18 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\CONIME.EXE-13EEEA1A.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:18 創建檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:18 結束/掛載程序 操作:封鎖 程序路徑:C:\WINDOWS\system32\taskkill.exe 目標程序:C:\WINDOWS\Explorer.EXE 觸發規則:所有程式規則->* 2008-01-12 03:41:18 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\taskkill.exe 命令列:/f /im iexplorer.exe 觸發規則:所有程式規則->* 2008-01-12 03:41:19 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\taskkill.exe 命令列:/f /im taskmgr.exe 觸發規則:所有程式規則->* 2008-01-12 03:41:19 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:20 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:20 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:20 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\TASKKILL.EXE-0A8306E3.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:20 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:21 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:21 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:21 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:21 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smss.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:22 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:22 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smss.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:22 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:22 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:22 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:22 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:22 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\REG.EXE-0D2A95F7.pf 觸發規則:黑名單->all->* 2008-01-12 03:41:22 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:22 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\services.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:23 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\services.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:23 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsass.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:23 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsass.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:23 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:23 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:23 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regsvc.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:23 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regsvc.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:23 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe " /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:24 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:24 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstask.exe " /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:24 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstask.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:24 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\reg.exe 命令列:add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /v debugger /t reg_sz /d debugfile.exe /f 觸發規則:所有程式規則->* 2008-01-12 03:41:24 建立登錄檔值 操作:允許 程序路徑:C:\WINDOWS\system32\reg.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe 登錄檔名稱:[Key] 觸發規則:黑名單->all->* 2008-01-12 03:41:24 執行應用程式 操作:允許 程序路徑:C:\WINDOWS\system32\cmd.exe 檔案路徑:C:\WINDOWS\system32\shutdown.exe 命令列:-r -t 59 -c "斕腔萇齟眒冪俙俇賸" 觸發規則:所有程式規則->* 2008-01-12 03:41:25 修改檔案 操作:允許 程序路徑:C:\WINDOWS\System32\svchost.exe 檔案路徑:C:\WINDOWS\Prefetch\SHUTDOWN.EXE-12DAD820.pf 觸發規則:黑名單->all->* 執行完之後電腦掛點...哈哈哈~ 被倒數關機之後重開機 BUT 重開機後出現下面這情形 AND 再度重開機,重開機動作陷入無限循環中 此篇文章於 2008-01-22 08:51 PM 被 juijui 編輯。. |
回覆 |
會員 ![]() | 回覆: 【病毒】[08-01-22]可疑樣本 網友幫忙測試的圖... |
回覆 |
會員 ![]() | 回覆: 【病毒】[08-01-22]可疑樣本 KIS v7.0.0.125 1/22/2008 點擊下載即出現: |
回覆 |
あなたの家に行く | 影像劫持的確會帶來困擾。有些合法的程式,例如 Process Explorer,就是用此方法來取代原本的工作管理員。 只要在 60 秒內取消關機,然後刪除那些被劫持的登錄項目,重開機就沒問題了。(作者太好心了。應該要刪除 shutdown.exe 檔案,或是將時間縮短為 5 秒,讓用戶措手不及。) |
回覆 |
會員 ![]() | 回覆: 【病毒】[08-01-22]可疑樣本 目前有二家入毒庫 Kaspersky Rising |
回覆 |
阿康 ![]() | 回覆: 【病毒】[08-01-22]可疑樣本 AntiVir Premium版 觸發調最高scan還是沒掃到!! ![]() |
回覆 |
會員 ![]() | 回覆: 【病毒】[08-01-22]可疑樣本 昨天回報紅傘官網... 得到的結果卻是... File ID Filename Size (Byte) Result 3651598 qq170912556.rar 4.44 KB OK A listing of files contained inside archives alongside their results can be found below: File ID Filename Size (Byte) Result 3651599 ####(qq170912556).exe 40 KB CLEAN Please find a detailed report concerning each individual sample below: Filename Result ####(qq170912556).exe CLEAN The file '####(qq170912556).exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content. 真是太不可思議了~ ![]() 經多方回報及溝通... 官網於今天的回報如下 File ID Filename Size (Byte) Result 3651598 qq170912556.rar 4.44 KB OK A listing of files contained inside archives alongside their results can be found below: File ID Filename Size (Byte) Result 3651599 ####(qq170912556).exe 40 KB MALWARE Please find a detailed report concerning each individual sample below: Filename Result ####(qq170912556).exe MALWARE The file '####(qq170912556).exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/VB.KE. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection will be added to our virus definition file (VDF) with one of the next updates. |
回覆 |
|
![]() | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【病毒】[08-01-26]可疑樣本 | juijui | -- 防 駭 / 防 毒 版 | 2 | 2008-01-29 01:41 AM |
【病毒】[08-01-20]可疑樣本 | juijui | -- 防 駭 / 防 毒 版 | 1 | 2008-01-20 11:01 AM |
【病毒】[08-01-19]可疑樣本 | juijui | -- 防 駭 / 防 毒 版 | 0 | 2008-01-19 09:19 PM |
【病毒】[08-01-17]可疑樣本 | juijui | -- 防 駭 / 防 毒 版 | 4 | 2008-01-19 12:38 PM |
【病毒】[08-01-15]可疑樣本 | juijui | -- 防 駭 / 防 毒 版 | 1 | 2008-01-19 06:48 AM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。