瑞星不报 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流瑞星不报

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

瑞星不报

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-11-29 23:58 \| 只看楼主短消息资料字号：小中大 1楼瑞星不报样本来源:http://bbs.kingzoo.com/viewthread.php?tid=23021&;pid=173995&page=1&extra=page%3D1#pid173995 文件: new.exe 大小: 62454 字节 MD5: B2DD2EDC2832545B6A33EE14E73E7167 SHA1: 58FEF8DC5AE58427AA9ADC9EB94571FB145F6F3D CRC32: B555CC01 加壳类型: N/A 编写语言: VC++ 简单行为分析: 释放病毒副本: 引用: %system32%\004e6b5.imi %system32%\??????.dll(6位随机字母组合命名) 调用svchost.exe安装服务: 引用: 命令行:%system32%\svchost.exe -k ldpict 加载病毒文件安装服务插入进程svchost.exe: 引用: HKLM\SYSTEM\CurrentControlSet\Services\ldpict HKLM\SYSTEM\ControlSet001\Services\ldpict HKLM\SYSTEM\ControlSet002\Services\ldpict HKLM\SYSTEM\ControlSet003\Services\ldpict 指向病毒文件"%system32%\??????.dll" 依赖于进程svchost.exe出站TCP联网: 引用: 124.128.167.138:kerberos 手工清理: 下载冰刃; 在进程"svchost.exe"中卸载模块"%system32%\??????.dll"; 删除文件: 引用: %system32%\004e6b5.imi %system32%\??????.dll 删除注册表: 引用: HKLM\SYSTEM\CurrentControlSet\Services\ldpict HKLM\SYSTEM\ControlSet001\Services\ldpict HKLM\SYSTEM\ControlSet002\Services\ldpict HKLM\SYSTEM\ControlSet003\Services\ldpict 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。　　　　 %Windir% 　　　　　　　　　　 WINDODWS所在目录　　　　 %DriveLetter%　　　　　　　　逻辑驱动器根目录　　　　 %ProgramFiles%　　　　　　　系统程序默认安装目录　　　　 %HomeDrive% 　　　　　　　　　当前启动的系统的所在分区　　　　 %Documents and Settings% 　　　当前用户文档根目录　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings 　　　　　　　　　　　　　　　　　　　 \当前用户\Local Settings\Temp 　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹　　　　　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32 　　　　 windows95/98/me中默认的安装路径是C:\Windows\System 　　　　 windowsXP中默认的安装路径是C:\Windows\System32 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727) 附件: 您所在的用户组无法下载或查看附件不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	分享到：

晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:	发表于： 2008-11-30 01:48 \| 短消息资料字号：小中大 2楼回复: 瑞星不报 VirSCAN.org Scanned Report : Scanned time : 2008/11/30 01:45:44 (HKT) Scanner results: 54%的防毒軟體(21/39)報告發現病毒 File Name : new.rar File Size : 56086 byte File Type : RAR archive data, v1d, os MD5 : 14d00bbd5d6983e3096243b454bf2ad5 SHA1 : 032a3335ebed29d610ab9ad6ebed740bd5e6e90c Online report : http://virscan.org/report/cef9e78a142a2aa044e9753c60821578.html Scanner Engine Ver Sig Ver Sig Date Time Scan result a-squared 4.0.0.26 20081127213325 2008-11-27 3.05 Backdoor.Win32.PcClient!IK AhnLab V3 2008.11.30.00 2008.11.30 2008-11-30 1.00 Win-Trojan/PcClient.11296 AntiVir 7.9.0.36 7.1.0.157 2008-11-28 1.59 DR/PcClient.Gen Antiy 2.0.18 20081129.1772504 2008-11-29 0.12 - Arcavir 1.0.5 200811291125 2008-11-29 1.26 - Authentium 5.1.1 200811281656 2008-11-28 1.05 - AVAST! 3.0.1 081128-0 2008-11-28 0.00 Win32:Downloader-AZY [Trj] AVG 7.5.52.442 270.9.11/1819 2008-11-29 1.79 BackDoor.PcClient.2.AM BitDefender 7.81008.2282015 7.22177 2008-11-30 2.07 Trojan.Crypt.DG CA (VET) 9.0.0.143 31.6.6234 2008-11-28 5.66 Win32/PcClient!generic trojan. ClamAV 0.94.1 8696 2008-11-29 0.02 - Comodo 2.11 2.0.0.712 2008-11-20 0.53 - CP Secure 1.1.0.715 2008.11.30 2008-11-30 6.44 - Dr.Web 4.44.0.9170 2008.11.29 2008-11-29 3.61 Trojan.MulDrop.28476 ewido 4.0.0.2 2008.11.29 2008-11-29 3.55 Backdoor.PcClient.ejn F-Prot 4.4.4.56 20081128 2008-11-28 1.05 - F-Secure 5.51.6100 2008.11.29.01 2008-11-29 3.79 Backdoor.Win32.PcClient.tan [AVP] Fortinet 2.81-3.117 9.757 2008-11-29 0.14 W32/PCCLIEN.AFR!tr.bdr GData 19.1727/19.127 20081129 2008-11-29 4.14 Backdoor.Win32.PcClient.tan [Engine:A] ViRobot 20081129 2008.11.29 2008-11-29 0.40 - Ikarus T3.1.01.45 2008.11.29.71931 2008-11-29 3.51 Backdoor.Win32.PcClient JiangMin 11.0.706 2008.11.29 2008-11-29 1.45 - Kaspersky 5.5.10 2008.11.29 2008-11-29 0.03 Backdoor.Win32.PcClient.tan KingSoft 2008.9.8.18 2008.11.29.22 2008-11-29 0.68 - McAfee 5.3.00 5448 2008-11-28 2.53 - Microsoft 1.4104 2008.11.29 2008-11-29 4.62 Backdoor:Win32/PcClient.T mks_vir 2.01 2008.11.30 2008-11-30 3.66 - Norman 5.93.01 5.93.00 2008-11-28 5.48 W32/PCClient.LTF Panda 9.05.01 2008.11.29 2008-11-29 2.98 - Trend Micro 8.700-1004 5.682.21 2008-11-29 0.02 BKDR_PCCLIEN.AFR Quick Heal 10.00 2008.11.29 2008-11-29 0.86 Win32.Backdoor.PcClient.klo.3 Rising 20.0 21.05.52.00 2008-11-29 0.78 - Sophos 2.81.2 4.36 2008-11-30 1.94 - Sunbelt 4674 4674 2008-11-04 0.70 - Symantec 1.3.0.24 20081129.002 2008-11-29 0.19 - nProtect 2008-11-28.00 2630992 2008-11-28 3.96 Backdoor/W32.PcClient.65289 The Hacker 6.3.1.1 v00166 2008-11-27 0.47 - VBA32 3.12.8.9 20081129.1054 2008-11-29 1.37 Backdoor.Win32.PcClient.sxr VirusBuster 4.5.11.10 10.94.10/729492 2008-11-29 0.95 Backdoor.PcClient.Gen.3
晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:

RisingCSC 在线技术支持工程师帖子:4368 注册: 2008-02-26 来自:	发表于： 2008-12-01 09:03 \| 短消息资料字号：小中大 3楼回复：瑞星不报文件名：new.exe 病毒名：Backdoor.Win32.PcClient.fxd 您所上报的病毒文件将在瑞星2008的20.73.00版本中处理解决，如遇特殊情况可能会推后几个版本。站内导航：新人报道 \| 反病毒/反流氓软件 \| RAV/RIS求助 \| RFW求助 \| 卡卡助手求助热点推荐： RIS2009有奖征文 \| 春节活动汇总
RisingCSC 在线技术支持工程师帖子:4368 注册: 2008-02-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT