返回列表 发帖

[病毒样本] 新版熊猫!

[病毒样本] 新版熊猫!

VirSCAN.org Scanned Report :
Scanned time   : 2008/07/15 14:48:57 (CST)
Scanner results: 44%的杀软(16/36)报告发现病毒
File Name      : 新建文件夹.rar
File Size      : 70869 byte
File Type      : RAR archive data, v1d, os
MD5            : 69393e5c0b8b6c900f7ea1add4436b51
SHA1           : 9d627ca934a408d1cd51aba8b9197bebe657acf0
Online report  : http://virscan.org/report/2ab4803e91159a717bcf09146f362716.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.07.14        2008-07-14  2.71   -
安博士V3       2008.07.15.00   2008.07.15        2008-07-15  1.99   -
AntiVir        7.8.0.64        7.0.5.113         2008-07-14  8.32   TR/Dldr.Delphi.Gen
Arcavir        1.0.4           200807141245      2008-07-14  5.19   Heur.RoundKick
AVAST!         1.0.8           080714-0          2008-07-14  9.83   Win32:Crypt-AIS [Trj]
AVG            7.5.51.442      270.4.10/1552     2008-07-14  4.34   Win32/Ngvck.AO
BitDefender    7.60825.1379508 7.20014           2008-07-15  4.76   -
CA (VET)       9.0.0.143       31.6.5954         2008-07-14  1.17   -
ClamAV         0.93            7716              2008-07-15  0.77   Trojan.Killav-108
Comodo         2.11            2.0.0.585         2008-07-14  1.17   -
CP Secure      1.1.0.715       2008.07.15        2008-07-15  14.04  W32.W.Delf.bd
Dr.Web         4.44.0.9170     2008.07.14        2008-07-14  9.61   -
ewido          4.0.0.2         2008.07.14        2008-07-14  2.44   -
F-Prot         4.4.1.52        20080714          2008-07-14  2.69   Possible W32/HLL-SysDlrSharer-based!Maximus
F-Secure       5.51.6100       2008.07.15.02     2008-07-15  0.30   Worm.Win32.AutoRun.ejy [AVP]
飞塔           2.81-3.11       9.312             2008-07-14  2.33   -
ViRobot        20080714        2008.07.14        2008-07-14  1.21   -
Ikarus         T3.1.01.26      2008.07.15.71091  2008-07-15  9.09   Suspicious(Level 80)
江民杀毒       11.0.706        2008.07.15        2008-07-15  1.46   Trojan/DiskAutorun.afi
卡巴斯基       5.5.10          2008.07.14        2008-07-14  0.23   Worm.Win32.AutoRun.ejy
金山毒霸       2008.1.14.15    2008.7.15.14      2008-07-15  0.86   -
迈克菲         5.2.00          5338              2008-07-14  5.57   W32/NGVCK.a.1792
Microsoft      1.3704          2008.07.02        2008-07-02  5.51   -
mks_vir        2.01            2008.07.14        2008-07-14  9.92   Heur.W32.Generic
Norman         5.93.01         5.93.00           2008-07-11  11.90  -
熊猫卫士       9.05.01         2008.07.15        2008-07-15  2.96   Suspicious file
趋势科技       8.700-1004      5.405.00          2008-07-14  0.04   -
Quick Heal     9.50            2008.07.14        2008-07-14  0.86   -
瑞星           20.0            20.53.10.00       2008-07-15  1.10   -
Sophos         2.75.4          4.31              2008-07-15  6.07   Mal/HckPk-A
Sunbelt        3.1.1536.1      2139              2008-07-11  0.81   -
赛门铁克       1.3.0.24        20080714.003      2008-07-14  0.20   -
nProtect       2008-07-15.00   1689018           2008-07-15  4.41   -
The Hacker     6.2.96          v00379            2008-07-12  0.93   -
VBA32          3.12.8.0        20080714.1831     2008-07-14  4.33   Trojan.Win32.Revelation
VirusBuster    4.5.11.10       10.79.1/594378    2008-06-19  9.41   -
附件: 您需要登录才可以下载或查看附件。没有帐号?加入剑盟

TOP

回复 沙发 的帖子

看了您的分析。现在不知有没有专杀?
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香 功夫”就能找到。

TOP

拜读了您的分析。小聪怀疑是炒作,不知这个病毒和熊猫烧香有没有关联?
现在不知有没有专杀?
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香 功夫”就能找到。

TOP

原帖由 byxxdrls 于 2008-7-15 17:23 发表
看了您的分析。现在不知有没有专杀?
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香 功夫”就能找到。

从早些时候的那个新版机器狗到这个新版熊猫烧香,虽然都有恢复SSDT这手,但我的 Tiny、瑞星和SSM三个工具中,只有SSM经受住了病毒的考验(只要设置、使用得当。)
谢谢你的样本。
俺也尝鲜了。

TOP

原帖由 byxxdrls 于 2008-7-15 17:24 发表
拜读了您的分析。小聪怀疑是炒作,不知这个病毒和熊猫烧香有没有关联?
现在不知有没有专杀?
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香 功夫”就能找到。


未中毒前,在软件限制策略里添加针对此样本的“散列规则”,可以预防它http://bbs.ikaka.com/showtopic-8524275.aspx
中毒后,组策略被废掉了。这招就不灵了。

TOP

赛门铁克能够识别这个样本
W32.Small.gen
同样问题不要开两次主题,已解决的问题请加上“已解决”字样
PS:本人的回复只是出于帮助的目的,不附带任何连带责任,相关版权等问题请自行解决
[img=300,100][/img]

TOP

我暂停卡巴保护,并退出卡巴。

运行sandbox

在sandbox中运行这个病毒,在任务管理器里可以看到suchost.exe这个进程,微点没有反应!

于是我再运行卡巴,开启防护,打开有病毒的文件夹,卡巴报此文件有毒,我点删除,然后卡巴扫描(可能扫描的是关键区域),忽然桌面很难看,然后机子重启,进入桌面时进不了,我按机箱restart,再重启可以进入桌面。一切正常。

我本是想检测微点的,看到咱们论坛有这个病毒我就试试,结果不太让我满意。不知道是不是我用sandbox用的不得当造成的?我刚开始用。 我用sandbox打不开the world!

还用微点的朋友请检测下,不过千万不要在实机上测试!

[ 本帖最后由 剑影瀚瀚 于 2008-7-15 19:47 编辑 ]
Win7 +Kis2010+The World+arswp

PD805+2GB+160GB+X700+Logitech G5
Kaspersky Internet Security 2010has everything you need for a safe and secure Internet experience.

TOP

谢谢告知。
我的博客:http://blog.163.com/kingofbirds_1/edit/

TOP

原帖由 剑影瀚瀚 于 2008-7-15 19:27 发表
我暂停卡巴保护,并退出卡巴。

运行sandbox

在sandbox中运行这个病毒,在任务管理器里可以看到suchost.exe这个进程,微点没有反应!

于是我再运行卡巴,开启防护,打开有病毒的文件夹,卡巴报此文件有毒,我 ...

sandbox中运行的病毒创建不了驱动,所以病毒没有真正发挥作用(没还原SSDT,也没穿还原)

TOP

返回列表

剑盟资讯 - 反病毒资讯门户|扑奔PPT - 扑奔PPT社区|力洋网络 - 企业网站建设

冀ICP备09001109号|粤湛网安备4408002113号

广东剑盟网络科技工作室 © 2004 - 2010 All Rights Reserved.

Powered by Discuz! 剑盟社区已通过广东省公安厅网络信息安全备案!