标题: 微点漏病毒了 [打印本页]

---

作者: xdsn     时间: 2009-10-12 18:07    标题: 微点漏病毒了

漏了。http://virusscan.jotti.org/en/sc ... e186210f91d12830142

http://www.virustotal.com/zh-cn/ ... 95f3ff9e-1255340451

附件如何上传，我发到点饭论坛吧

[ Last edited by xdsn on 2009-10-12 at 18:10 ]

---

作者: Legend     时间: 2009-10-12 18:11
感谢您反馈的这个情况，希望您能协助我们，将提到的这个文件加密压缩后（使用单词virus作为密码）发送到我们的样本邮箱virus@micropoint.com.cn，我们帮您分析确认一下。
发送完毕后请通过论坛消息私聊留一个您的邮箱地址给我们，以方便查收处理，谢谢。

---

作者: 坐照     时间: 2009-10-13 14:19
关注中。。。。。

---

作者: Legend     时间: 2009-10-14 11:14
没有收到楼主反馈的邮件，请楼主重新发送一下，以便我们具体分析。

---

作者: xdsn     时间: 2009-10-17 00:47
http://www.mpfans.org/thread-40400-1-1.html
11号学校一个交流论坛被挂马了，本人是通过巡警网页分析平台发现挂马页的。
挂马页：hXXp://acp.dns0755.net/1/ie.html
用网页解密软件解出网马地址：htWWp://ava.nna.cc/j/aaa.exe（第一个，第二天更新为aa.exe新样本）（可笑的是这两个下载器都是有签名都，瑞星，看来作者是跟瑞星有过节啊）
下面是金山缉毒队的朋友帮忙解出来的，因为本人软件调试刚刚学。
用Od调试下载器发现软件自带加密函数，对下载表进行了加密。这个网马行为挺多的，单步调试，接触下载表：http://a.moneyinfom.com/v.txt
解密后
sss。76.73.78.204/b/qn.exe
xxx。76.73.78.204/b/3.exe
sss.76.73.78.204/b/7.exe
ss.76.73.78.204/b/ty.exe
sss.76.73.78.204/b/cc.exe
ssss.76.73.78.204/b/tl.exe
是事实：
://76.73.78.204/b/9.exe
试试：76.73.78.204/b/ap.exe

前面的一些字符自己改动了。这个居然过了国产三大杀软 连卡巴都不杀，我试微点的时候，微点也没反应。
不知道微点处理了没，这几天学校有事没有上微点论坛。不好意思
附件：我发到邮箱吧，希望论坛能够提交附件。这样就比较方便。


点饭技术已经反馈，已经可以查到了。
蠕虫名称：Worm.Win32.AutoRun.brv

程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\AA\AA.EXE
是蠕虫程序!
已成功阻止其运行,是否要删除此文件?

[ Last edited by xdsn on 2009-10-17 at 00:50 ]

---

作者: Legend     时间: 2009-10-21 09:14
楼主反馈样本文件我们已经分析，感谢楼主的反馈
文件名 aa.exe
微点拦截  病毒名为 Worm.Win32.AutoRun.brv

此主题暂做关闭处理，如有其它问题请另开新帖讨论。

[ Last edited by Legend on 2009-10-21 at 09:31 ]

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn