Rank: 11

UID: 259456
积分: 4542
金元: 857 JY
金分: 80655 JF
活跃度: 11323

我的中国心管理技术勋章优秀斑竹勋章热心会员勋章

楼主 跳转到 » 倒序看帖

字体大小: tT

发表于 2008-7-15 15:08 | 只看该作者

[病毒样本] 新版熊猫！

VirSCAN.org Scanned Report :
Scanned time : 2008/07/15 14:48:57 (CST)
Scanner results: 44%的杀软(16/36)报告发现病毒
File Name    : 新建文件夹.rar
File Size    : 70869 byte
File Type    : RAR archive data, v1d, os
MD5          : 69393e5c0b8b6c900f7ea1add4436b51
SHA1          : 9d627ca934a408d1cd51aba8b9197bebe657acf0
Online report  : http://virscan.org/report/2ab4803e91159a717bcf09146f362716.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    3.5.0.22       2008.07.14       2008-07-14  2.71 -
安博士V3    2008.07.15.00 2008.07.15       2008-07-15  1.99 -
AntiVir       7.8.0.64       7.0.5.113       2008-07-14  8.32 TR/Dldr.Delphi.Gen
Arcavir       1.0.4          200807141245    2008-07-14  5.19 Heur.RoundKick
AVAST!       1.0.8          080714-0       2008-07-14  9.83 Win32:Crypt-AIS [Trj]
AVG          7.5.51.442    270.4.10/1552    2008-07-14  4.34 Win32/Ngvck.AO
BitDefender 7.60825.1379508 7.20014          2008-07-15  4.76 -
CA (VET)    9.0.0.143    31.6.5954       2008-07-14  1.17 -
ClamAV       0.93          7716             2008-07-15  0.77 Trojan.Killav-108
Comodo       2.11          2.0.0.585       2008-07-14  1.17 -
CP Secure    1.1.0.715    2008.07.15       2008-07-15  14.04  W32.W.Delf.bd
Dr.Web       4.44.0.9170    2008.07.14       2008-07-14  9.61 -
ewido       4.0.0.2       2008.07.14       2008-07-14  2.44 -
F-Prot       4.4.1.52       20080714       2008-07-14  2.69 Possible W32/HLL-SysDlrSharer-based!Maximus
F-Secure    5.51.6100    2008.07.15.02    2008-07-15  0.30 Worm.Win32.AutoRun.ejy [AVP]
飞塔          2.81-3.11    9.312          2008-07-14  2.33 -
ViRobot       20080714       2008.07.14       2008-07-14  1.21 -
Ikarus       T3.1.01.26    2008.07.15.71091  2008-07-15  9.09 Suspicious(Level 80)
江民杀毒    11.0.706       2008.07.15       2008-07-15  1.46 Trojan/DiskAutorun.afi
卡巴斯基    5.5.10       2008.07.14       2008-07-14  0.23 Worm.Win32.AutoRun.ejy
金山毒霸    2008.1.14.15 2008.7.15.14    2008-07-15  0.86 -
迈克菲       5.2.00       5338             2008-07-14  5.57 W32/NGVCK.a.1792
Microsoft    1.3704       2008.07.02       2008-07-02  5.51 -
mks_vir       2.01          2008.07.14       2008-07-14  9.92 Heur.W32.Generic
Norman       5.93.01       5.93.00          2008-07-11  11.90  -
熊猫卫士    9.05.01       2008.07.15       2008-07-15  2.96 Suspicious file
趋势科技    8.700-1004    5.405.00       2008-07-14  0.04 -
Quick Heal    9.50          2008.07.14       2008-07-14  0.86 -
瑞星          20.0          20.53.10.00    2008-07-15  1.10 -
Sophos       2.75.4       4.31             2008-07-15  6.07 Mal/HckPk-A
Sunbelt       3.1.1536.1    2139             2008-07-11  0.81 -
赛门铁克    1.3.0.24       20080714.003    2008-07-14  0.20 -
nProtect    2008-07-15.00 1689018          2008-07-15  4.41 -
The Hacker    6.2.96       v00379          2008-07-12  0.93 -
VBA32       3.12.8.0       20080714.1831    2008-07-14  4.33 Trojan.Win32.Revelation
VirusBuster 4.5.11.10    10.79.1/594378 2008-06-19  9.41 -

附件: 您需要登录才可以下载或查看附件。没有帐号？加入剑盟

0

赞
踩

baohe

剑盟病毒救援小组

Rank: 10

UID: 166687
积分: 634
金元: 1896 JY
金分: 3183 JF
活跃度: 1533

MVP技术专家

沙发

发表于 2008-7-15 17:05 | 只看该作者

回复楼主的帖子

http://bbs.ikaka.com/showtopic-8524252.aspx

TOP

byxxdrls

版主

Rank: 11

UID: 259456
积分: 4542
金元: 857 JY
金分: 80655 JF
活跃度: 11323

我的中国心管理技术勋章优秀斑竹勋章热心会员勋章

板凳

发表于 2008-7-15 17:23 | 只看该作者

回复沙发的帖子

看了您的分析。现在不知有没有专杀？
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香功夫”就能找到。

TOP

byxxdrls

版主

Rank: 11

UID: 259456
积分: 4542
金元: 857 JY
金分: 80655 JF
活跃度: 11323

我的中国心管理技术勋章优秀斑竹勋章热心会员勋章

地板

发表于 2008-7-15 17:24 | 只看该作者

拜读了您的分析。小聪怀疑是炒作，不知这个病毒和熊猫烧香有没有关联？
现在不知有没有专杀？
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香功夫”就能找到。

TOP

baohe

剑盟病毒救援小组

Rank: 10

UID: 166687
积分: 634
金元: 1896 JY
金分: 3183 JF
活跃度: 1533

MVP技术专家

5楼

发表于 2008-7-15 17:31 | 只看该作者

原帖由 byxxdrls 于 2008-7-15 17:23 发表
看了您的分析。现在不知有没有专杀？
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香功夫”就能找到。

从早些时候的那个新版机器狗到这个新版熊猫烧香，虽然都有恢复SSDT这手，但我的 Tiny、瑞星和SSM三个工具中，只有SSM经受住了病毒的考验（只要设置、使用得当。）
谢谢你的样本。
俺也尝鲜了。

TOP

baohe

剑盟病毒救援小组

Rank: 10

UID: 166687
积分: 634
金元: 1896 JY
金分: 3183 JF
活跃度: 1533

MVP技术专家

6楼

发表于 2008-7-15 18:12 | 只看该作者

原帖由 byxxdrls 于 2008-7-15 17:24 发表
拜读了您的分析。小聪怀疑是炒作，不知这个病毒和熊猫烧香有没有关联？
现在不知有没有专杀？
我是看了网上的资料才留意这个病毒的。此病毒的分析网上有。只要键入关键词“熊猫烧香功夫”就能找到。

未中毒前，在软件限制策略里添加针对此样本的“散列规则”，可以预防它http://bbs.ikaka.com/showtopic-8524275.aspx。
中毒后，组策略被废掉了。这招就不灵了。

TOP

shaka

分类版主

Rank: 12

UID: 93623
积分: 3297
金元: 626 JY
金分: 17398 JF
活跃度: 8240

管理技术勋章优秀斑竹勋章杰出会员勋章福娃迎迎福娃妮妮福娃晶晶福娃欢欢福娃贝贝我的中国心

7楼

发表于 2008-7-15 18:25 | 只看该作者

赛门铁克能够识别这个样本
W32.Small.gen

同样问题不要开两次主题，已解决的问题请加上“已解决”字样
PS：本人的回复只是出于帮助的目的，不附带任何连带责任，相关版权等问题请自行解决
[img=300,100][/img]

TOP

剑影瀚瀚

版主

Rank: 11

UID: 235103
积分: 1262
金元: 3291 JY
金分: 7633 JF
活跃度: 3150

论坛一级勋章论坛二级勋章杰出会员勋章福娃晶晶我的中国心

8楼

发表于 2008-7-15 19:27 | 只看该作者

我暂停卡巴保护，并退出卡巴。

运行sandbox

在sandbox中运行这个病毒，在任务管理器里可以看到suchost.exe这个进程，微点没有反应！

于是我再运行卡巴，开启防护，打开有病毒的文件夹，卡巴报此文件有毒，我点删除，然后卡巴扫描（可能扫描的是关键区域），忽然桌面很难看，然后机子重启，进入桌面时进不了，我按机箱restart，再重启可以进入桌面。一切正常。

我本是想检测微点的，看到咱们论坛有这个病毒我就试试，结果不太让我满意。不知道是不是我用sandbox用的不得当造成的？我刚开始用。我用sandbox打不开the world！

还用微点的朋友请检测下，不过千万不要在实机上测试！

[ 本帖最后由剑影瀚瀚于 2008-7-15 19:47 编辑 ]

Win7 +Kis2010+The World+arswp

PD805+2GB+160GB+X700+Logitech G5
Kaspersky Internet Security 2010has everything you need for a safe and secure Internet experience.