12
返回列表 发帖

[病毒样本] 20071125

viphjw

Rank: 4

UID
98922 
积分
242 
金元
34 JY 
金分
17814 JF 
活跃度
604  
楼主 跳转到 » 倒序看帖
打印
tT
发表于 2007-11-26 18:31 | 只看该作者

[病毒样本] 20071125

国内没报的
1

评分人数

  • 悠悠我心

收藏 分享
http://www.viyazone.cn

清凉世界
头像被屏蔽

禁止访问

UID
247340 
积分
164 
金元
11 JY 
金分
3620 JF 
活跃度
410  

我的中国心
沙发
发表于 2007-11-26 18:58 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽

TOP

nhxycfans

Rank: 10Rank: 10Rank: 10

UID
242988 
积分
2698 
金元
46 JY 
金分
5500 JF 
活跃度
6728  

剑盟精英勋章优秀斑竹勋章剑盟情侣勋章杰出会员勋章福娃迎迎福娃妮妮福娃晶晶福娃欢欢福娃贝贝我的中国心
板凳
发表于 2007-11-26 18:59 | 只看该作者
File: ie3.exe
Size: 15676 bytes
MD5: D3A62CD41F860D563ED1B81EA4DBEB1B
SHA1: AC4EFE2BBFC86D07072C6499C9A96339354D1DDE
CRC32: 73FEEDD5

壳 Upack

行为分析 之本地行为:
1.释放
%systemroot%\system32\gdmoyi32.cfg
%systemroot%\system32\gdmoyi32.dll
%homedrive%\name.log

name.log 内容(只有一行):
system32\DRIVERS\comint32.sys

%userprofile%\Local Settings\Temp\tmp***.tmp

tmp***.tmp:

0000004D   0001004D      0   !This program cannot be run in DOS mode.
000001B8   000101B8      0   .text
000001DF   000101DF      0   h.rdata
00000207   00010207      0   HPAGE
00000258   00010258      0   .reloc
0000027F   0001027F      0   BZwOpenKey Wrong
00000294   00010294      0   ZwSetValueKey Value error 1
000002C0   000102C0      0   ZwSetValueKey Value error 2
000004E4   000104E4      0   H:\code\new\GameHack\RegDriver\objfre\i386\Reg.pdb
0000063C   0001063C      0   ZwCreateFile error
00000650   00010650      0   ZwQueryInformationFile error
00000670   00010670      0   ZwReadFile error
00000690   00010690      0    : %ws
0000072C   0001072C      0   SetRegSzValue Wrong
000007AB   000107AB      0   _VVj j
0000093E   0001093E      0   ZwClose
00000948   00010948      0   ZwSetValueKey
00000958   00010958      0   wcslen
00000962   00010962      0   DbgPrint
0000096E   0001096E      0   ZwOpenKey
0000097A   0001097A      0   RtlInitUnicodeString
00000992   00010992      0   ZwReadFile
000009A0   000109A0      0   ZwQueryInformationFile
000009BA   000109BA      0   ZwCreateFile
000009C8   000109C8      0   ntoskrnl.exe
00000A09   00010A09      0   2<3J3e3x3
00000A27   00010A27      0   7 84898f8z8
000002B4   000102B4      0   Start
0000060C   0001060C      0   \DosDevices\c:\name.log
00000698   00010698      0   ImagePath
000006B0   000106B0      0   \Registry\Machine\SYSTEM\CurrentControlSet\Services\AsyncMac
杀毒,系统修复就用『金山急救箱&云查杀』
金山急救箱    金山云查杀    金山U盘专杀

TOP

viphjw

Rank: 4

UID
98922 
积分
242 
金元
34 JY 
金分
17814 JF 
活跃度
604  
地板
发表于 2007-11-26 19:01 | 只看该作者

回复 板凳 的帖子

速度真块哈哈,我那还有2花园呢
http://www.viyazone.cn

TOP

viphjw

Rank: 4

UID
98922 
积分
242 
金元
34 JY 
金分
17814 JF 
活跃度
604  
5
发表于 2007-11-26 19:14 | 只看该作者
ie3.exe_ - Trojan-PSW.Win32.OnLineGames.iub
http://www.viyazone.cn

TOP

nhxycfans

Rank: 10Rank: 10Rank: 10

UID
242988 
积分
2698 
金元
46 JY 
金分
5500 JF 
活跃度
6728  

剑盟精英勋章优秀斑竹勋章剑盟情侣勋章杰出会员勋章福娃迎迎福娃妮妮福娃晶晶福娃欢欢福娃贝贝我的中国心
6
发表于 2007-11-26 20:40 | 只看该作者
漏了一个,...

还释放了
%systemroot%\system32\comint32.sys

注册表主要改动

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsyncMac\ImagePath
旧的值  system32\DRIVERS\asyncmac.sys.
新的值  system32\DRIVERS\comint32.sys.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsyncMac\Start
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac\ImagePath
旧的值  system32\DRIVERS\asyncmac.sys.
新的值  system32\DRIVERS\comint32.sys.

新增的

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32\0000\Control\ActiveService
键值: 字符串: "comint32"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32\0000\DeviceDesc
键值: 字符串: "comint32"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32\0000\Legacy
键值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32\0000\Service
键值: 字符串: "comint32"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32\NextInstance
键值: DWORD: 1 (0x1)

......................
杀毒,系统修复就用『金山急救箱&云查杀』
金山急救箱    金山云查杀    金山U盘专杀

TOP

jshan888_888

Rank: 4

UID
214198 
积分
361 
金元
0 JY 
金分
12983 JF 
活跃度
903  
7
发表于 2007-11-26 20:48 | 只看该作者
金山毒霸监控和病毒扫描都没有发现,真郁闷

TOP

proll

Rank: 4

UID
235734 
积分
247 
金元
618 JY 
金分
54109 JF 
活跃度
618  
8
发表于 2007-11-26 21:35 | 只看该作者
f-prot
[Found possible security risk] <W32/Heuristic-162!Eldorado (damaged, not disinfectable)>         \Trojan-PSW.Win32.OnLineGames.iub\ie3.exe->(UPack)

panda
miss

TOP

dark1109

UID
246420 
积分
10 
金元
0 JY 
金分
5766 JF 
活跃度
24  
9
发表于 2007-11-26 22:30 | 只看该作者
Kaspersky Internet Security 7.0
The requested URL http://bbs.janmeng.com/attachment.php?aid=216578 is infected with Trojan-PSW.Win32.OnLineGames.iub virus

TOP

EQ2

Rank: 10Rank: 10Rank: 10

UID
227637 
积分
181 
金元
890 JY 
金分
11510 JF 
活跃度
452  

我的中国心
10
发表于 2007-11-26 23:58 | 只看该作者
C:\Documents and Settings\Don johnson\桌面\ie3.rar &raquo; RAR &raquo; ie3.exe - Win32/PSW.OnLineGames.NIT trojan

TOP

12
返回列表

剑盟资讯 - 反病毒资讯门户|扑奔PPT - 扑奔PPT社区|力洋网络 - 企业网站建设

冀ICP备09001109号|粤湛网安备4408002113号

广东剑盟网络科技工作室 © 2004 - 2010 All Rights Reserved.

Powered by Discuz! 剑盟社区已通过广东省公安厅网络信息安全备案!