我是网管论坛 » 【 360病毒木马专区 】 » 病毒集中营（样本专帖）

爱丽舍 发表于 2007-10-1 20:37

病毒集中营（样本专帖）

本帖是为了测试病毒发作后的症状，并及时找到解决办法而开设的病毒文件征集帖。
*r5H ic2U2OjX 如果你在发现了病毒而解决不了，请将病毒文件（一般为exe、com、dll、bat、sys等格式）打包压缩为rar格式跟帖上传附件。
)D+}u \,Ubk4h 觉得病毒版也应该有这样一个帖子（之前红色代码曾发过一个），方便大家研究；同时希望对病毒样本分析有经验有用户也积极参与，可以针对某个样本发表分析帖子，当然不要跟帖回复了，最好是发个新帖，标题类似“针对病毒集中营**楼样本***的分析”这样的。
@;qdW9`
m
Z3NC5o
_4i
欢迎广大网友上传自己遇到或所知的病毒文件，上传时请按以下格式补充完整信息，如某些信息未知，则注明未知。
s:O tt!m+bP!wAr /T%NP
YRB
[color=blue]病毒名称：RF5pW'y@\
杀毒软件：
c#?v}0rE 病毒库最后升级时间：
R Z-mgP4PI{ 染毒文件名称：
.r
MI_5q$x 染毒文件绝对路径：lmVd u:U
发现时间：
u'hO5|Y 症状：[/color]
],X&Rz@)gI+^ x|c} Z;b6h
-EPV7z
M(c.Pe5d
[size=3][color=olive]除病毒样本外不许其他内容的回复，发现删除！！[/color][/size]"v5C.c}c"V,@ d

)`z.J+JQ ^)F"G [[i] 本帖最后由 爱丽舍 于 2007-10-1 20:55 编辑 [/i]]

5609096 发表于 2007-10-11 20:50

病毒样本。。。。

全部exe文件感染。。。。。系统没什么变化，。。看不出有什么特征。。。。。。

bunimu 发表于 2007-10-12 14:01

[color=#0000ff]病毒名称： [color=#333333]PWS-QQGame([/color]应该属于AUTO系列的了 U盘病毒)
"c-wGg_'y2I 杀毒软件：[color=#333333]mcafee[/color]
c%F]:kAWoB;^ 病毒库最后升级时间： [color=#333333]2007-10-12[/color]
p~ ]oYqT S 染毒文件名称：AUTO.EXE
5U| KF-a 染毒文件绝对路径：磁盘根目录
%P8p:|C[:W 发现时间：[color=#333333]2007-10-12[/color]K3|dm A7R&S
症状：没特别感觉~[/color]

bunimu 发表于 2007-10-19 08:31

RSMYASP木马程序

爱丽舍 发表于 2007-10-23 16:08

这是别人u盘上的，mcafee8.5i杀了六七个病毒后，唯独剩下了这个1O%v!f#J#l*s
不过这个应该是个有问题的东东，但不会分析*q#l&y\E~e
所以也不能按格式上报了Lk5B8l T$RR
先把它传上来再说，原文件名没改，好象比较常见

sunleling 发表于 2007-10-27 11:05

我从病毒区里找的

是从别人发出来整理的!

离我远点 发表于 2007-10-29 11:14

运行以后，会生成2PvS!_~Ii R(F
c:\windows\system32\a.exe
pb/i#A6S;GHr r.Q c:\windows\system32\chostbl.exeDu
]Z$n lz
在每个驱动器盘符下生成：
X7MsfT autorun.inf和sbl.exe两个文件
4z2t7_thD\ 中毒后会自动禁止任务管理器以及360安全卫士等杀软，可以在局域网内通过ARP传播到每一台联网的电脑。
0Q$o~9v0X X ^J eP-G
杀毒方法，去掉上数文件的只读、隐藏属性，结束进程，删除即可。当时是这么杀的，现在方便了，运行它的时候360会提示的，可以禁止文件运行并删除文件。
8nQ*{]Y/J,j!qMO
K'i.F1@&@gu 样本是带有隐藏属性的，需要调整文件夹选项才能看到。

papa5038 发表于 2007-11-4 20:30

**** 作者被禁止或删除 内容自动屏蔽 ****

4328028 发表于 2007-11-7 20:40

回复 #1 爱丽舍 的帖子

此病毒通吃所有的杀毒软件
bG ^Y&L(Nc9cS 有的病毒文件无法在系统里删除(包括安全模式在内)
9X'M)VkSq!QXZ ;qu wA2u.]
此病毒会修改年份为2000年,导致杀毒软件失效*KE{H0}A$S

%O.]`3^j 我是在DOS里删除这些文件的${)s(Z4\K}

S;zU%i:Bk%Gb8Z lLB6H ?%C
病毒文件的绝对路径:
w_Tf`,Xx-e\ WINDOWS\SYSTEM32\kvdxhma.dll
%gz|^$]%P WINDOWS\SYSTEM32\avwgemn.dll
xGH0F U1n WINDOWS\SYSTEM32\wswsleak01.dll
(^&c%Uo$}D&m3I WINDOWS\SYSTEM32\kawdczy.dll{'nK,J5v3a
WINDOWS\SYSTEM32\ratbgpi.dll
Tt t1?#[u,q WINDOWS\SYSTEM32\sidjczy.dllv ?0Qw&xa]#D s
WINDOWS\SYSTEM32\lsyfowsjqxdk.dll
,B'g+@6d1pj.N Program Files\Internet Explorer\PLUGINS\NewTemp.dll
Tj4QH |x-bwr Program Files\Internet Explorer\PLUGINS\winsys8x.sys
ui djL` AqX *z&{*A S%]9C N2NFp
最主要的是修改注册表里的:
oO
l E%S_$\ HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows NT\CurrentVersion\Windows

J$nu:pKO 一个参数值,一般加载的是上面的dll文件
9p!P]K@*Q&kV 别外,每个盘内都会生成两个文件: PegeFile  和 autoinf\{'qP5YPK4t
?$U9Nv$jm
请大家注意,最近最好不要浏览不知明的网站,不要下载不知明网站上的文件等
%R|Y ]]xl,O!Aen k&v
Odb|R +d _)A"Yu&d;G
下面附件是病毒的文件,上传上来供大家参考!iOvasi

Xl.fQ@\.U?"I"s [color=red]能力有限的同行,请勿乱试,谢谢合作!!![/color]  解密码:123456op Q)TE K:E*wRW]
L _+h
I#?,we8u~
[[i] 本帖最后由 4328028 于 2007-11-7 20:41 编辑 [/i]]

xx514614882 发表于 2007-11-8 16:31

**** 作者被禁止或删除 内容自动屏蔽 ****

sunleling 发表于 2007-11-18 09:00

机器狗变种

天涯风云   斑竹   上传的机器狗变种

number5 发表于 2007-11-29 21:23

包含熊猫烧香 和QQ巨盗 比较厉害的病毒甚用

比较危险的病毒 ！！ [align=left][quote][/align][color=red][b]版主回复：[/b][/color]  下次请在置顶帖里发!
1Zq'WX"k [align=left][/quote][/align]&V?QD{~'K+N

`Vy]KT
v"@F$Q [[i] 本帖最后由 sunleling 于 2007-11-30 08:16 编辑 [/i]]

xiaokaibo520 发表于 2007-12-13 09:12

11 27 机器狗最新病毒样本密码是TXWM

用微软输入法程序感染,有局域网传播功能

xiaokaibo520 发表于 2007-12-13 09:14

IGM样本及变种

IGM的第一、二个变种

xiaokaibo520 发表于 2007-12-13 09:15

12月4日狗狗

机器狗第五次变种，才找到，不在用以前的SYS文件传播。

jackieleung 发表于 2007-12-15 00:10

autorun样品

杀毒软件：mcafee
la2gY`"]"z^$d 染毒文件绝对路径：磁盘根目录

jackieleung 发表于 2007-12-15 00:14

okmhbaz.exe

病毒名称:okmhbaz.exeRC_/B8AjG+|
mcafee8.5i杀了六七个病毒后，唯独剩下了这个okmhbaz.exe杀不了...也删除不了~
PE?T)du}D6a ^-T
@b1z;NAIn"r 直接上传..原文件名没改!
_ZoLf'H$|4U 1s;gE-WtAi]AR
路径在c:\WINDOWS\Fonts\system
/cZp(^~&}{
7C WtZ5D
jR} u
e_(|+~X paN
%yx8XYhF%F;k 一解压就这样~~~~h.p$@6n sRd D
扫描类型： 实时防护 扫描
at-Q}xa&R 事件： 已发现病毒！
qK.c8yF:]*j 病毒名称: Infostealer.Gampass
%sSD)Z}6IH;R
\ 文件： E:\okmhbaz.exe\okmhbaz.exe
*cF+x@#{} 位置：隔离区
`Z0h1us$@W;CD 计算机：TYD022
8HZWXZUN 用户：联盟网吧
t[6W/F5G}Iq 采用的操作：清除 失败 : 隔离 成功 : 拒绝访问
.q%L/r
O:}| 发现的日期： Sat Dec 15 00:15:20 2007

ajwcj 发表于 2007-12-23 01:38

12.22被狗狗穿透的userinit

被穿透后出现新症状,启动后不显示桌面,替换成正常userinit后就对了,现在不知道怎么防了.

yt77432002 发表于 2007-12-27 21:55

Ring3下能够穿透还原的软件

都不知道说什么了现在无聊人士和抢钱的真多，有精力不能做点别的4w6J~~)bL{?x"^N^
lU8YKSl!{(\IL

/M U5|}x4Z4F 以下附件：[b][color=#666666] [/color][/b][url=http://bbs.54master.com/222887,1,1][color=#333333]Ring3下能够穿透还原的软件[/color][/url]

54netmaster 发表于 2008-1-9 21:38

wxLalA.exe病毒

系统XP  万象2004 : 我网吧收银机用最新瑞星查杀后,发现在万象目录下（D:\wx2004）及客户机每台机子system32下都有个wxLalA.exe病毒,删除后过段时间（或重起）又有,瑞星命名为trojan.win32.undef.akv,在baidu google搜索wxLalA.exe,没有任何关于他的信息,看名字好像是万象的文件,不知道到底有问题,该怎么处理,以前从没发现过.请问大家怎么解决?{ ~_k-L2}

|4K}F@:q 木马清道夫、木马杀客、木马克星也认成病毒。
5NP-A `&Y.K$h"|
q;X^"r'j [[i] 本帖最后由 54netmaster 于 2008-1-9 21:40 编辑 [/i]] [align=left][quote][/align][color=red][b]版主回复：[/b][/color]  我用卡巴！报没威胁！把后缀改为。EXE双击会出现一个网址！个人感觉没问题！
;S#H+lO7aw{.Vs!wn [align=left][/quote][/align]
/uJ6l1zYv
G0I:BBM(Tg/pG [[i] 本帖最后由 sunleling 于 2008-1-23 18:16 编辑 [/i]]

查看完整版本: 病毒集中营（样本专帖）