论坛帖子内容              Thread Content
病毒样本专帖
作者 网络vs浪子   查看 7316   发表时间 2006/10/6 05:21  【论坛浏览】
因网友要求,所以特别开了这个帖!oawszr
注:要下载必须明白该文件可能会造成的后果!不然请不要随意下载!否则后果自负!!oawszr
本帖不许灌水,每帖必须包含样本!如有疑问请PM!oawszr
引用小师弟:如果我的机子中毒了,我要怎么样才能拿到病毒样本呢? oawszr
答:你可以用SRENG软件看看自己的启动项目,是否有可疑文件,感到可疑就可以把文件上传到:oawszr
http://www.virustotal.com/en/indexf.html ; oawszr
进行扫描,浏览-SEND,过会儿就会出现结果了 Antivirus :杀毒软件名称 Version : 版本 Update : 病毒库更新时间 Result :扫描结果 棕色为病毒名称 no virus found 表示无病毒 有时有几个杀软件会误报,挑几个自己信得过的就可,如果全部都报毒,那证明这个文件很有问题!有时也不报毒,那这个文件也不一定是正常的!不过这样机率很小^_^ oawszr
oawszr
今天帮网友解决了二个病毒,看病毒还有点难缠和欺骗性就上传了! oawszr
第一只:灰鸽子(下载后把文件扩展名改成exe就可) oawszr
下载地址:http://down.20lz.com/ydown.rar(空间商跑路,所以……)oawszr
该文件运行后在%windir%\ydown.ini(其实是个可执行文件),oawszr
在注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]添加Windows XP reghe 注:%windir%为系统变量,就是你操作系统所在盘的windows目录 oawszr
第二只:盗Q木马 下载地址:oawszr
FLriSs4z.raroawszr
oawszr
样本大小: 41122 bytes oawszr
MD5: bbd4ed47a3d2fc33ddaf8b95495ff20a oawszr
SHA1: 620d07c34459af3988a601c043fead2001432db9 oawszr
加壳方式: UPX oawszr
Kaspersky 4.0.2.24 11.24.2006 Trojan-PSW.Win32.QQPass.qx oawszr
McAfee 4903 11.23.2006 PWS-QQRob oawszr
该病毒运行后,在C:\Program Files\Common Files\Microsoft Shared\MSInfo\目录生成两个文件F066DDFA.dat和F066DDFA.dll,C:\WINDOWS\Help\wshmcepts.chm(系统、隐藏文件),dll文件注入多个进程中!添加注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}\InProcServer32] @="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\F066DDFA.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6DDFF066-F066-DDFA-66DD-066DF066DDFA}"="" 并关闭多种杀毒软件和防火墙的服务项 手工清除方法: 1.首先显示系统、隐藏文件,找到“C:\Program Files\Common Files\Microsoft Shared\MSInfo\F066DDFA.dll”右击-重命名,随便改个名字,如“F066DDFA.dllb”(因为该DLL注入进程太多,无法用卸载模块等方法来删除该文件),然后删除“C:\Program Files\Common Files\Microsoft Shared\MSInfo\F066DDFA.dat和C:\WINDOWS\Help\wshmcepts.chm” 2.注销系统,再重新登入系统,删除“F066DDFA.dllb”(也就是你改名的文件) 3.删除该木马生成的注册表项 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}\InProcServer32] @="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\F066DDFA.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6DDFF066-F066-DDFA-66DD-066DF066DDFA}"="" oawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
oawszr
SHE.EXE 与 SXS.EXE ,此二个病毒相似,本版也有查杀方法,偶就不多说了!oawszr
oawszr
oawszr
oawszr
oawszr
[LOGIN]oawszr
97RGTNj5.raroawszr
[/LOGIN]oawszr
oawszr
回复:病毒样本专帖oawszr
oawszr
今天终于拿到一个CHM格式的木马样本!oawszr
该木马运行后释放以下文件:oawszr
oawszr
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4LUJ0TU3\muma[1].exeoawszr
C:\Program Files\Common Files\Microsoft Shared\MSInfo\10AB9284.dat(文件名不固定)oawszr
C:\Program Files\Common Files\Microsoft Shared\MSInfo\10AB9284.dll (文件名不固定)oawszr
C:\WINDOWS\Downloaded Program Files\muma.exeoawszr
C:\WINDOWS\Help\wshmcepts.chmoawszr
oawszr
添加注册表oawszr
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B92810AB-10AB-9284-AB92-0AB280AB9284}]oawszr
@=""oawszr
oawszr
oawszr
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B92810AB-10AB-9284-AB92-0AB280AB9284}\InProcServer32]oawszr
@="C:\Program Files\Common Files\Microsoft Shared\MSInfo\10AB9284.dll"oawszr
oawszr
oawszr
oawszr
oawszr
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]oawszr
"{B92810AB-10AB-9284-AB92-0AB280AB9284}"=""oawszr
oawszr
并打开一个空白的帮助文件还迷惑用户!oawszr
oawszr
oawszr
注:{B92810AB-10AB-9284-AB92-0AB280AB9284}随文件名改变[/COLOR]oawszr
oawszr
并关闭多种杀毒软件和防火墙的服务项[/COLOR]oawszr
oawszr
oawszr
该木马跟一楼的盗Q木马一样。这个就是盗Q木马的变种,只是多了oawszr
C:\WINDOWS\Downloaded Program Files\muma.exe 该文件可能会让你打开IE后再次感染此病毒!oawszr
oawszr
oawszr
[LOGIN]oawszr
s82QYuYE.raroawszr
[/LOGIN]oawszr
oawszr
回复:病毒样本专帖oawszr
oawszr
xiaoshen.exe病毒样本下载:oawszr
oawszr
oawszr
该病毒运行后,生成文件oawszr
oawszr
oawszr
“C:\WINDOWS\system32\Update.exe”oawszr
oawszr
oawszr
添加注册表启动项:oawszr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runoawszr
[Update] C:\WINDOWS\system32\Update.exeoawszr
oawszr
oawszr
每个盘符下 生成oawszr
xiaoshen.exe 和 autorun.infoawszr
oawszr
oawszr
oawszr
该木马还会尝试访问网络下载多个木马文件~[/COLOR]oawszr
oawszr
oawszr
[LOGIN]样本下载:oawszr
jlc3vTx0.raroawszr
[/LOGIN]oawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
oawszr
oawszr
oawszr
暴强的下载者,下载N多木马病毒!oawszr
oawszr
oawszr
正在测试,有一定的破坏,下载请小心!oawszr
oawszr
oawszr
测试过程直接当机,太多恶意插件和病毒木马,知道有魔波,可能还有尼姆亚……oawszr
oawszr
oawszr
样本大小:5753字节oawszr
MD5: df8b0003bc90d2515576b376bf041261 oawszr
SHA1: d4e8eb0a3c7259047594ec698aae75a0ba1e524a oawszr
加壳方式: UPX oawszr
oawszr
各杀软件检测结果:oawszr
oawszr
oawszr
AntiVir 7.2.0.44 11.23.2006 no virus found oawszr
Authentium 4.93.8 11.22.2006 no virus found oawszr
Avast 4.7.892.0 11.22.2006 no virus found oawszr
AVG 386 11.23.2006 no virus found oawszr
BitDefender 7.2 11.23.2006 GenPack:Generic.Malware.SBdld!.88D81F08 oawszr
CAT-QuickHeal 8.00 11.22.2006 (Suspicious) - DNAScan oawszr
ClamAV devel-20060426 11.23.2006 no virus found oawszr
DrWeb 4.33 11.23.2006 no virus found oawszr
eSafe 7.0.14.0 11.22.2006 Win32.Polipos.sus oawszr
eTrust-InoculateIT 23.73.65 11.23.2006 no virus found oawszr
eTrust-Vet 30.3.3209 11.23.2006 no virus found oawszr
Ewido 4.0 11.23.2006 no virus found oawszr
Fortinet 2.82.0.0 11.23.2006 suspicious oawszr
F-Prot 3.16f 11.22.2006 no virus found oawszr
F-Prot4 4.2.1.29 11.22.2006 no virus found oawszr
Ikarus 0.2.65.0 11.23.2006 no virus found oawszr
Kaspersky 4.0.2.24 11.23.2006 no virus found oawszr
McAfee 4902 11.22.2006 no virus found oawszr
Microsoft 1.1804 11.23.2006 no virus found oawszr
NOD32v2 1879 11.23.2006 no virus found oawszr
Norman 5.80.02 11.22.2006 no virus found oawszr
Panda 9.0.0.4 11.22.2006 no virus found oawszr
Prevx1 V2 11.23.2006 no virus found oawszr
Sophos 4.11.0 11.16.2006 no virus found oawszr
TheHacker 6.0.3.123 11.23.2006 no virus found oawszr
UNA 1.83 11.22.2006 no virus found oawszr
VBA32 3.11.1 11.22.2006 no virus found oawszr
VirusBuster 4.3.15:9 11.22.2006 no virus found oawszr
oawszr
oawszr
[LOGIN]源地址:http://203.171.236.215/downloader.exe[/LOGIN]oawszr
oawszr
oawszr
[LOGIN]oawszr
HB4o8WTS.raroawszr
[/LOGIN]oawszr
oawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
AdWare.Win32.Dm.y oawszr
oawszr
oawszr
WNSO.exe万能搜索软件 样本oawszr
oawszr
oawszr
清除方法请参考:http://bbs.20lz.com/viewthread.php?tid=1797&extra=page%3D1oawszr
oawszr
样本下载:oawszr
oawszr
oawszr
dI1GWMpZ.raroawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
ghost.exe病毒样本oawszr
oawszr
相关清除方法:http://forum.ikaka.com/topic.asp?board=28&artid=8236476oawszr
oawszr
附件: oawszr
pDJjrT8X.raroawszr
2006/12/27 06:33, 16.5 KB, 下载次数: 17oawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
木马siss.exe vmiprwse.exe competUi.dll样本oawszr
oawszr
oawszr
相关清除方法:http://bbs.20lz.com/viewthread.php?tid=1811&extra=page%3D1oawszr
oawszr
附件: oawszr
fK1Wh2bI.raroawszr
2006/12/30 06:21, 27.62 KB, 下载次数: 7oawszr
oawszr
oawszr
回复:病毒样本专帖oawszr
oawszr
木马twunk32.exe样本oawszr
oawszr
下载:oawszr
oawszr
[LOGIN]oawszr
PdYqBL97.raroawszr
[/LOGIN]oawszr
oawszr
oawszr
尼姆亚(熊猫烧香)样本:oawszr
oawszr
oawszr
下载:oawszr
oawszr
oawszr
[LOGIN]oawszr
dvI73vqd.raroawszr
[/LOGIN]oawszr

序号 评论者 共有评论 152   【论坛浏览】  【发表评论】 评论时间
1 myljty 回复:病毒样本专帖
金猪病毒样本

好像是熊猫烧香变种!



x3OZvFC4.rar
 2007/2/2 07:32
2 myljty 回复:病毒样本专帖

再来一只马
这只木马还不被NOD32及卡巴查杀,其他没试
病毒名随机,可能是键盘记录器!


Rfhuj3h0.rar
 2007/2/4 08:39
3 网络vs浪子 回复:病毒样本专帖
诈骗者病毒样本,卡巴与NOD32最新病毒库暂时不报!
可执行文件MD5:a8d6cc7b661482c5be38c38b19156b43
大小:397680字节

发作为
警告:
发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件)


解决方法:http://bbs.20lz.com/viewthread.php?tid=2033		 2007/2/6 04:16
4 tfnyga 回复:病毒样本专帖
请问版主,可以从被感染的exe文件中提取出病毒样本吗?先
lGR3YfPg.rar

如果是程序就没办法了,只能提取出特征码!不过偶没那种能力[/COLOR][em115]
该病毒相关清除方法:http://bbs.20lz.com/viewthread.php?tid=2053&extra=page%3D1                         网络vs浪子
先谢了,那我怎样才能得到那病毒的源文件呢?像瑞星,那病毒源文件它还查不出来呢,那熊猫烧香的Gamesetup.exe明明就一个病毒源文件,给它查都不会报是病毒,非要是被熊猫烧香感染的exe文件它才能查到。还有我想问那些病毒感染了那可执行文件后为什么还要让它原来的图标变掉呢,那岂不是更能让人察觉到吗?
[
浪子回:那可能是瑞星的病毒库中还没有这个文件的特征码!		 2007/2/8 07:33
5 网络vs浪子 回复:病毒样本专帖
敲诈者变种样本,暂时不被查杀!


相关查杀方法:http://bbs.20lz.com/viewthread.php?tid=2060&extra=page%3D1		 2007/2/11 04:30
6 网络vs浪子 回复:病毒样本专帖
Win32.Delf蠕虫变种样本

卡巴:Worm.Win32.Delf.bg  NOD32:暂时不报

相关解决方法:http://bbs.20lz.com/viewthread.php?tid=2078&extra=page%3D1		 2007/2/14 19:32
7 网络vs浪子 木马:Backdoor.Win32.Agent.air rund1132.exe byetmr.exe样本

手工查杀解决方法:http://bbs.20lz.com/viewthread.php?tid=2362		 2007/3/18 22:48
8 网络vs浪子 再来60只马吧! 这么多病毒样本了,大家也要写篇分析或心得出来分享下嘛!!!

点击查看大图



文件太大,分卷压缩!		 2007/4/23 11:36
9 网络vs浪子 再来三只马儿,自行测试! 2007/6/4 09:56
10 jin_05 学习了! 2007/10/18 18:46
 共有评论数 152  每页显示 10
页码 1/16  |<  <<   1 2 3 4 5 6   >>  >| 
论坛登录信息  
本版热门  
  [样本] 病毒样本专帖
  小师弟要的小老鼠[病毒样本]
  [样本] IGM.exe与IGW.exe样本
  [样本] 伪装成图片文件夹的...
  [样本] 4月24日机器狗样本
  [求助] 这是什么病毒?怎么...
  病毒
  [样本] 小浩
  [样本] Worm.Win32.Downlo...
  [其它精品] [分享]好东东大...
Powered by DiY-Page 5.3.0 © 2005-2009