BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #26062同步于 2009/11/25
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

都做主动防御去了?

bv
2009/11/25镜像同步2 回复
对这个autoinfect深表怀疑[em11] VirSCAN.org Scanned Report : Scanned time : 2009/11/25 19:13:59 (CST) Scanner results: 41%的杀软(15/37)报告发现病毒 File Name : 习题.exe File Size : 1556275 byte File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : a589236502980068fe8373c08d9c0aa0 SHA1 : 2a7746f7be88a7b20c415ed951d2be8d5d4404ea Online report : http://virscan.org/report/12a4593b80a9825096df5c3adcac19f7.html Scanner Engine Ver Sig Ver Sig Date Time Scan result a-squared 4.5.0.8 20091125033126 2009-11-25 4.39 Trojan.Win32.FlyStudio!IK 安博士V3 2009.11.25.00 2009.11.25 2009-11-25 1.11 - AntiVir 8.2.1.78 7.10.1.75 2009-11-25 0.45 TR/Dropper.Gen 安天 2.0.18 20091125.3312390 2009-11-25 0.22 - Arcavir 2009 200911250348 2009-11-25 0.10 - Authentium 5.1.1 200911241603 2009-11-24 1.47 W32/Heuristic-210!Eldorado (Heuristic) AVAST! 4.7.4 091125-0 2009-11-25 0.06 - AVG 8.5.288 270.14.81/2524 2009-11-25 1.72 - BitDefender 7.81008.4598410 7.29132 2009-11-25 4.40 Dropped:Trojan.Peed.Gen CA (VET) 35.1.0 7140 2009-11-24 10.36 - ClamAV 0.95.2 10068 2009-11-25 0.22 - Comodo 3.12 3030 2009-11-25 3.25 - CP Secure 1.3.0.5 2009.11.25 2009-11-25 0.41 - Dr.Web 4.44.0.9170 2009.11.25 2009-11-25 7.38 - F-Prot 4.4.4.56 20091124 2009-11-24 1.21 W32/Nuj.A.gen!Eldorado (generic, not disinfectable) F-Secure 7.02.73807 2009.11.25.03 2009-11-25 2.20 - 飞塔 11.92- 11.92 2009-11-25 0.23 - GData 19.8991/19.583 20091125 2009-11-25 5.72 - ViRobot 20091124 2009.11.24 2009-11-24 0.46 - Ikarus T3.1.01.74 2009.11.25.74590 2009-11-25 4.82 Trojan.Win32.FlyStudio 江民杀毒 11.0.800 2009.11.25 2009-11-25 9.02 - 卡巴斯基 5.5.10 2009.11.25 2009-11-25 1.88 - 金山毒霸 2009.2.5.15 2009.11.25.16 2009-11-25 1.78 - 迈克菲 5.3.00 5812 2009-11-24 4.55 W32/Autorun.worm.ev Microsoft 1.5302 2009.11.24 2009-11-24 7.56 Backdoor:Win32/FlyAgent.F Norman 6.01.09 6.01.00 2009-11-25 4.01 - 熊猫卫士 9.05.01 2009.11.23 2009-11-23 2.95 - 趋势科技 9.000-1003 6.650.02 2009-11-25 0.07 Mal_Otorun-11 Quick Heal 10.00 2009.11.25 2009-11-25 2.42 - 瑞星 20.0 22.23.02.07 2009-11-25 3.30 Worm.Win32.Autorun.tad Sophos 3.01.0 4.47 2009-11-25 3.31 Mal/EncPk-GF Sunbelt 5518 5518 2009-11-18 2.17 Trojan.Win32.Autorun.dm (v) 赛门铁克 1.3.0.24 20091124.017 2009-11-24 0.06 Packed.Generic.244 nProtect 20091125.01 6330100 2009-11-25 4.89 Dropped:Trojan.Peed.Gen The Hacker 6.5.0.2 v00076 2009-11-23 0.98 - VBA32 3.12.12.0 20091124.2139 2009-11-24 2.15 Trojan-Dropper.Win32.Flystud.ko VirusBuster 4.5.11.10 10.113.28/2002840 2009-11-24 2.76 - 附件(1.5MB)
订阅后,新回复会通过你的通知中心匿名送达。
2 条回复
smilefufu机器人#1 · 2009/11/25
易语言编写(加壳?)。 运行后,向系统文件夹system32中释放大约4个文件夹。其中包括易语言程序需要的运行库文件若干: cnvpe.fne dp1.fne eAPI.fne eCompress.fne HtmlView.fne internet.fne krnln.fnr RegEx.fnr shell.fne spec.fne 以及exe主程序 718E7F.EXE(PS:EXE文件名有可能是随机产生) 向开始菜单的启动项中添加了指向此exe的快捷方式(如此老套的开机自启动-_,-) 从库文件里可以看到可能对注册表也做了操作(RegEx.fnr),懒得去翻了,估计也是开机自启动修改ie主页之类的东西吧…… 应该有internet连接操作(internet.fne) 暂时只有这么多吧……等楼下的大牛补充……
snowdown机器人#2 · 2009/11/25
%System%\1C59EC\2E6556.EXE