瑞星卡卡安全论坛技术交流区可疑文件交流 20.49.10 没反应的网马 aaa.exe

1   1  /  1  页   跳转

20.49.10 没反应的网马 aaa.exe

20.49.10 没反应的网马 aaa.exe


 附件: 您所在的用户组无法下载或查看附件

文件 aaa.exe 接收于 2008.06.17 08:09:58 (CET)
反病毒引擎版本最后更新扫描结果
AhnLab-V32008.6.17.02008.06.16-
AntiVir7.8.0.552008.06.17TR/Inject.HN.1
Authentium5.1.0.42008.06.17W32/Heuristic-210!Eldorado
Avast4.8.1195.02008.06.16-
AVG7.5.0.5162008.06.16-
BitDefender7.22008.06.17Trojan.Inject.HN
CAT-QuickHeal9.502008.06.16-
ClamAV0.93.12008.06.17PUA.Packed.UPack
DrWeb4.44.0.091702008.06.17-
eSafe7.0.15.02008.06.16Win32.Looked.gen
eTrust-Vet31.6.58802008.06.17Win32/Zuten!generic
Ewido4.02008.06.16-
F-Prot4.4.4.562008.06.12W32/Heuristic-210!Eldorado
F-Secure6.70.13260.02008.06.17W32/Suspicious_U.gen
Fortinet3.14.0.02008.06.17-
GData2.0.7306.10232008.06.17-
IkarusT3.1.1.26.02008.06.17Trojan-Dropper.Win32.Agent.ane
Kaspersky7.0.0.1252008.06.17-
McAfee53182008.06.16New Malware.n
Microsoft1.36042008.06.17VirTool:Win32/Obfuscator.C
NOD32v231922008.06.17probably a variant of Win32/TrojanDownloader.Small.NZK
Norman5.80.022008.06.16W32/Suspicious_U.gen
Panda9.0.0.42008.06.16Suspicious file
Prevx1V22008.06.17-
Rising20.49.10.002008.06.17-
Sophos4.30.02008.06.17Mal/EncPk-BW
Sunbelt3.0.1153.12008.06.15-
Symantec102008.06.17Infostealer
TheHacker6.2.92.3522008.06.17W32/Behav-Heuristic-060
TrendMicro8.700.0.10042008.06.17TSPY_ONLNEG.AN
VBA323.12.6.72008.06.17-
VirusBuster4.3.26:92008.06.12Packed/Upack
Webwasher-Gateway6.6.22008.06.17Trojan.Inject.HN.1

附加信息
File size: 11907 bytes
MD5...: fe4402d5e3d1579ed56a777bec486506
SHA1..: 52617bf6d9dbb5700558d50535c008604ed4cad9
SHA256: eb22b94ae3796796247d410a423ac50e521081485b00cf33f7284b81c86e728b
SHA512: 4b1227e45a527710d9faa4cf144aad158e73ae751f347f1dacb8908df811eb06<BR>702c435023a67136ec48accc43f72c00364dd0c554e9c2808bc686d8f9f9b5e6
PEiD..: WinUpack v0.39 final (relocated image base) -> By Dwing (c)2005 (h2)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x41088f<BR>timedatestamp.....: 0x1000 (Thu Jan 01 01:08:16 1970)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.Upack 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0xe000 0xa000 0x2b6b 7.96 28c842afe98d6752398d248e462eb4f8<BR><BR>( 1 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress<BR><BR>( 0 exports ) <BR>
packers (Authentium): UPack
packers (F-Prot): UPack
packers (Kaspersky): UPack, PE_Patch, PE_Patch


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
http://blog.csdn.net/purpleendurer

宠辱不惊,笑看堂前花开花落; 去留无意,漫随天外云卷云舒。
分享到:
gototop
 

回复:20.49.10 没反应的网马 aaa.exe

PEiD..: WinUpack v0.39 final (relocated image base) -> By Dwing (c)2005 (h2)

这个壳版本报得不对,不是final的,是beta2的。
病毒样本请发到可疑文件交流区
gototop
 

回复:20.49.10 没反应的网马 aaa.exe

我这里Upack V0.36-V0.37 (DLL)


瑞星查的upack0.34>>66


各家定义不一样?
最后编辑艾玛 最后编辑于 2008-06-17 15:57:26
gototop
 

回复:20.49.10 没反应的网马 aaa.exe

VMUnpacker的检测结果为:

Upack V0.36-V0.37(DLL) -> Dwing [Overlay]
http://blog.csdn.net/purpleendurer

宠辱不惊,笑看堂前花开花落; 去留无意,漫随天外云卷云舒。
gototop
 

回复:20.49.10 没反应的网马 aaa.exe

分析:
http://bbs.ikaka.com/showtopic-8515537.aspx
这只类机器狗的驱动,直接构造IRP并发送给文件系统的处理例程,这在以前的机器狗中比较少见。
病毒样本请发到可疑文件交流区
gototop
 

回复:20.49.10 没反应的网马 aaa.exe

文件名:aaa.exe
病毒名:Rootkit.Win32.Agent.bcj
分析说明:

您所上报的病毒文件将在瑞星2008的20.49.20版本(瑞星2007的19.80.20版本)中处理解决,如遇到特殊问题可能会推后几个版本。
gototop
 

回复: 20.49.10 没反应的网马 aaa.exe

测试一下看看
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT