传说干掉卡9的毒
C:\Documents and Settings\Administrator\桌面\绅博GDATA AntiVirenKit(中国)官方论坛_UUSEEMEDIACENTER.rar>>UUSEEMEDIACENTER.EXE TrojanPSW.GamePass.Gen.tjup 木马 还未处理转自绅博
[url=http://bbs.hypost.cn/read.php?tid-264136.html]http://bbs.hypost.cn/read.php?tid-264136.html[/url]
为什么opera没上传附件的地方???????
[[i] 本帖最后由 邀请 于 2008-7-7 15:38 编辑 [/i]] 谁来验证一下?
偶没虚拟机[:1:] Detected: Trojan-Downloader.Win32.Agent.udd
[:01:]已经入库了,Downloader~
[b][color=green]字符串信息[/color][/b]
[code]
00007BD0 00407BD0 0 SoftProtect=
00007BF4 00407BF4 0 Shell
00007BFC 00407BFC 0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
00007C3C 00407C3C 0 %s\%s
00007C44 00407C44 0 %s\system32\%s
00007C54 00407C54 0 %s\system32\%s%s
00007C68 00407C68 0 %s\%s%s
00007C78 00407C78 0 orer.exe
00007C84 00407C84 0 del %0
00007C90 00407C90 0 cd C:\
00007C9C 00407C9C 0 :Repeat1
00007CA8 00407CA8 0 c:\mahtesf3.bat
00007CBC 00407CBC 0 if exist "%s" goto Repeat1
00007CD8 00407CD8 0 del "%s"
00007CE4 00407CE4 0 %c%c%c%c
00007CF4 00407CF4 0 HintSecu.sys
00007D10 00407D10 0 C:\Program Files\HintSoft\PubwinClient\Patch
00007D40 00407D40 0 C:\Program Files\360Safebox\sprotect.ini
00007D6C 00407D6C 0 c:\sysfiles\
000156EF 004156EF 0 ControlService
000156FE 004156FE 0 OpenServiceA
0001570B 0041570B 0 CreateServiceA
0001571A 0041571A 0 OpenSCManagerA
00015735 00415735 0 RegQueryValueExA
[/code]
[b][color=seagreen]注册表动作[/color][/b]
[quote][HKEY_LOCAL_MACHINE\software\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}\InProcServer32]
@="G:\\WINDOWS\\system32\\hhrdxd.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{28EB3777-3E23-4E72-8449-A992D09D24C3}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{28EB3777-3E23-4E72-8449-A992D09D24C3}\InProcServer32]
@="G:\\WINDOWS\\system32\\zefdst.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}\InProcServer32]
@="G:\\WINDOWS\\system32\\zgrjdx.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{461D2AB4-29A5-45C2-9134-D52272D3DE38}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{461D2AB4-29A5-45C2-9134-D52272D3DE38}\InProcServer32]
@="G:\\WINDOWS\\system32\\rfdswc.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}\InProcServer32]
@="G:\\WINDOWS\\system32\\tdggrz.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}\InProcServer32]
@="G:\\WINDOWS\\system32\\fmcvxy.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7914E0AA-ECCB-4311-B584-C49538227824}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7914E0AA-ECCB-4311-B584-C49538227824}\InProcServer32]
@="G:\\WINDOWS\\system32\\jhfrxz.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{84143967-B645-4BFF-B873-DA1DC886E9A7}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{84143967-B645-4BFF-B873-DA1DC886E9A7}\InProcServer32]
@="G:\\WINDOWS\\system32\\cedafb.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{841529CB-7F77-4B99-A895-B5441E0D302F}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{841529CB-7F77-4B99-A895-B5441E0D302F}\InProcServer32]
@="G:\\WINDOWS\\system32\\jfrwdh.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{8C41B7F7-3168-400D-A702-0E7EFE0BA304}\InProcServer32]
@="G:\\WINDOWS\\system32\\sgdewg.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A9895933-6636-4281-BC58-EE6DE2AF96E3}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A9895933-6636-4281-BC58-EE6DE2AF96E3}\InProcServer32]
@="G:\\WINDOWS\\system32\\ddserh.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C0595A7E-2E2F-4B34-A83A-019270A0A464}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C0595A7E-2E2F-4B34-A83A-019270A0A464}\InProcServer32]
@="G:\\WINDOWS\\system32\\tdffdl.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DC3D30AE-0380-4151-8934-EE98A34B0370}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DC3D30AE-0380-4151-8934-EE98A34B0370}\InProcServer32]
@="G:\\WINDOWS\\system32\\mfdesy.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}\InProcServer32]
@="G:\\WINDOWS\\system32\\wklsdd.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}]
@="MICROSOFT"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F99DEFDD-200B-4410-B572-E90883D527D2}\InProcServer32]
@="G:\\WINDOWS\\system32\\wrqszl.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\SHELLEXECUTEHOOKS]
"{DC3D30AE-0380-4151-8934-EE98A34B0370}"=""
"{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}"=""
"{A9895933-6636-4281-BC58-EE6DE2AF96E3}"=""
"{C0595A7E-2E2F-4B34-A83A-019270A0A464}"=""
"{84143967-B645-4BFF-B873-DA1DC886E9A7}"=""
"{28EB3777-3E23-4E72-8449-A992D09D24C3}"=""
"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=""
"{8C41B7F7-3168-400D-A702-0E7EFE0BA304}"=""
"{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}"=""
"{7914E0AA-ECCB-4311-B584-C49538227824}"=""
"{841529CB-7F77-4B99-A895-B5441E0D302F}"=""
"{F99DEFDD-200B-4410-B572-E90883D527D2}"=""
"{461D2AB4-29A5-45C2-9134-D52272D3DE38}"=""
"{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}"=""
"{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}"=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ntdapi]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"DisplayName"="Ntdapi"
"ImagePath"="G:\\WINDOWS\\system32\\drivers\\ntdapi.sys"[/quote]
[b][color=seagreen]下载列表[/color][/b][code]
c0=http://111.1212l112.net/cao/aa1.exe
c1=http://111.1212l112.net/cao/aa2.exe
c2=http://111.1212l112.net/cao/aa3.exe
c3=http://111.1212l112.net/cao/aa4.exe
c4=http://111.1212l112.net/cao/aa5.exe
c5=http://111.1212l112.net/cao/aa6.exe
c6=http://222.1212l112.net/cao/aa7.exe
c7=http://222.1212l112.net/cao/aa8.exe
c8=http://222.1212l112.net/cao/aa9.exe
c9=http://222.1212l112.net/cao/aa10.exe
c10=http://222.1212l112.net/cao/aa11.exe
c11=http://222.1212l112.net/cao/aa12.exe
c12=http://444.1212l112.net/cao/aa13.exe
c13=http://444.1212l112.net/cao/aa14.exe
c14=http://444.1212l112.net/cao/aa15.exe
c15=http://444.1212l112.net/cao/aa16.exe
c16=http://444.1212l112.net/cao/aa17.exe
c17=http://444.1212l112.net/cao/aa18.exe
c18=http://555.1212l112.net/cao/aa19.exe
c19=http://555.1212l112.net/cao/aa20.exe
c20=http://555.1212l112.net/cao/aa21.exe
c21=http://555.1212l112.net/cao/aa22.exe
c22=http://555.1212l112.net/cao/aa23.exe
c23=http://555.1212l112.net/cao/aa24.exe
c24=http://111.1212l112.net/cao/aa25.exe
c25=http://222.1212l112.net/cao/aa26.exe
c26=http://444.1212l112.net/cao/aa27.exe
c27=http://555.1212l112.net/cao/aa28.exe
[/code]
[[i] 本帖最后由 ALEXBLAIR 于 2008-7-7 18:24 编辑 [/i]] [attach]305141[/attach]
[:xi13:] 应该是卡8或者2009吧[:15:] 没有卡巴~~~~[:12:]
只能打个伞。。。。。 貌似入库了已经。都不让下。 testing result
comming soon................ 版本:KIS 8.0.0.422
病毒库:5月20日(避免入库)
分组:高受限(自动模式+默认设置)
防御触发AUTORUN(定义很广不是我们平常所说的,而且触发的不止这一个~因为在虚拟机里太卡所以就没截图~)等多个规则
[color=red]刚才察看一下,触发自动运行、驱动(提示有加载dll)、注册表等规则[/color]
[attach]305155[/attach]
[[i] 本帖最后由 syfwxmh 于 2008-7-7 17:23 编辑 [/i]] PRODNAME1
PRODNAME2
访问被拒绝
找不到所请求的 URL
在尝试检索 URL 时:
[url]http://bbs.kafan.cn/attachment.php?aid=[/url]
305127&k=826bc2a523e6825f95a6a8e44b72f9d
f&t=1215421783
遇到了下列错误:
所请求的对象已被感染了下列病毒: Trojan-Downloader.Win32.Agent.udd
如果您认为这是不正确的,请联系您的服务提供商。
生成于:
Mon Jul 07 17:09:57 2008
Kaspersky Internet Security 2009 Beta
回复 9楼 syfwxmh 的帖子
[:08:] 这东西有autorun?我测试的时候怎么没有生成,是autorun.inf这个类型的?还是自启动?
回复 11楼 ALEXBLAIR 的帖子
AUTORUN是一个规则的名称~~在卡巴09里定义很广~不是我们所说的autorun,而且触发了多个规则~~不止这一个~~ 我的kis357提示加入到未受信任组
然后就是 按照应用程序规则 被拒绝了
日志也是提示 修改自动运行 不知道它想干什么,病毒运行完就退出了,重启后用卡7查毒,查不到毒。 虚拟机的系统貌似正常。
2008-07-07 15:04:11 应用程序保护已经开启.
2008-07-07 15:04:11 注册表保护已经开启.
2008-07-07 15:04:11 文件保护已经开启.
2008-07-07 16:15:01 读取文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:15:52 创建文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\pufw.exe
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:17:06 运行应用程序 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {4F4F0064-71E0-4F0D-0026-708476C7815F} /I {00000000-0000-0000-C000-000000000046} /X 0x401
触发规则:应用程序规则->----------低--------->d:\2\*
2008-07-07 16:17:15 运行应用程序 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {00060006-0006-0006-0006-00060006BB15} /I {00000000-0000-0000-C000-000000000046} /X 0x401
触发规则:应用程序规则->----------低--------->d:\2\*
2008-07-07 16:18:07 运行应用程序 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\pufw.exe
触发规则:应用程序规则->----------低--------->d:\2\*
[color=red]2008-07-07 16:18:16 直接操作系统内核 操作:允许
进程路径:C:\WINDOWS\pufw.exe
触发规则:应用程序规则->----------低--------->C:\WINDOWS\pufw.exe
[/color]
[color=blue]2008-07-07 16:18:24 创建文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
触发规则:应用程序规则->-----低------>d:\2\*
[/color]
2008-07-07 16:18:24 读取文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
触发规则:应用程序规则->-----低------>d:\2\*
[color=red]2008-07-07 16:18:26 直接操作系统内核 操作:允许
进程路径:C:\WINDOWS\pufw.exe
触发规则:应用程序规则->----------低--------->C:\WINDOWS\pufw.exe
[/color]
2008-07-07 16:18:31 删除文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:18:31 读取文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
触发规则:应用程序规则->-----低------>d:\2\*
[color=red]2008-07-07 16:18:34 直接操作系统内核 操作:允许
进程路径:C:\WINDOWS\pufw.exe
触发规则:应用程序规则->----------低--------->C:\WINDOWS\pufw.exe[/color]
2008-07-07 16:18:39 创建文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\mahtesf3.bat
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:18:39 读取文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\mahtesf3.bat
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:19:17 运行应用程序 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c c:\mahtesf3.bat
触发规则:应用程序规则->----------低--------->d:\2\*
2008-07-07 16:19:17 读取文件 操作:允许
进程路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
文件路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
触发规则:应用程序规则->-----低------>d:\2\*
2008-07-07 16:19:25 删除文件 操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\2\传说干掉卡9的毒\UUSEEMEDIACENTER.EXE
触发规则:应用程序规则->脚本-低-->*\cmd.exe->*
2008-07-07 16:19:30 删除文件 操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\mahtesf3.bat
触发规则:应用程序规则->脚本-低-->*\cmd.exe->*
[[i] 本帖最后由 yjwfdc 于 2008-7-7 17:22 编辑 [/i]]
回复 13楼 yager 的帖子
你的只有修改自动运行,而我的不止这些~~刚才察看了一下触发了自动运行、驱动、注册表等规则~因为你的病毒库里已经入库~所以直接进入了未受信任组[[i] 本帖最后由 syfwxmh 于 2008-7-7 17:23 编辑 [/i]] *** 作者被禁止或删除 内容自动屏蔽 *** Sign of "Win32:Trojan-gen {Other}" has been found in 绅博GDATA AntiVirenKit(中国)官方论坛_UUSEEMEDIACENTER.rar\UUSEEMEDIACENTER.EXE" file. [:xi13:] 貌似样本不应该发在这里吧[:xi17:] *** 作者被禁止或删除 内容自动屏蔽 ***
回复 19楼 spiha 的帖子
[:08:] 不过这个东西真的没有特殊性,除了卡巴对它的定义有点牵强之外。只能说卡巴的测试环境是不联网的,或者说不能联到国内的网。
个人觉得应该是downloader
页:
[1]
2