Anti-Virus Fans » 病毒分析解决报告区 » Trojan-Dropper.Win32.Agent.aye (NTDETECT.exe )分析
本页主题: Trojan-Dropper.Win32.Agent.aye (NTDETECT.exe )分析 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

happyboys_xp
妇科主任
优秀斑竹奖 终身成就奖
级别: 管理员


精华: 19
发帖: 6911
威望: 6209 点
星星铁: 1771 块
贡献值: 324 点
在线时间:1392(小时)
注册时间:2006-01-21
最后登录:2008-12-01
引用 推荐 编辑 只看 复制

 Trojan-Dropper.Win32.Agent.aye (NTDETECT.exe )分析

病毒文件名 %3bYV3[8 _  
NTDETECT.exe GP5 ~NV  
测试系统 Qm.eZck  
WIN2000 e7U1lDW!  
测试人员 $*mFa( P.  
happyboys_xp 2,oZ&2UX  
ipCj?V h  
发作过程 0nc{OU4o  
病毒文件运行后有如下文件动作 "pId  
在所有分区创建anuorun.inf与NTDETECT.EXE文件 R=HI7Wp'   
C:\autorun.inf ?@+2j$aj  
C:\NTDETECT.exe ][jO,Qvw>  
C:\WINNT\system32\ntsvr.dll ;FWd*~z*  
D:\NTDETECT.exe z?;~(KHE  
D:\autorun.inf V d" W~#  
)^J\"U*  
注册表动作 Up2'-n054  
HKCR\CLSID\{79B8A2B5-CCAB-40CD-B939-A18B916FAD95}\InProcServer32 *vv&`q U   
HKCR\CLSID\{79B8A2B5-CCAB-40CD-B939-A18B916FAD95}\Progid =5 Uh&  
HKCR\CLSID\{79B8A2B5-CCAB-40CD-B939-A18B916FAD95}\Programmable 0NZa&o  
HKCR\CLSID\{79B8A2B5-CCAB-40CD-B939-A18B916FAD95}\TypeLib /kaOa_  
HKCR\CLSID\{79B8A2B5-CCAB-40CD-B939-A18B916FAD95}\VersionIndependentProgID )Yc{ftLyXI  
HKCR\Drive\shell\open\command Dhb@xvH  
HKCR\mssconime.ntsvr #+]\BA'  
HKCR\mssconime.ntsvr.1 E~#43]zlV  
HKCR\mssconime.ntsvr.1\CLSID + MM9<cJ  
HKCR\mssconime.ntsvr\CLSID aA$(  
HKCR\mssconime.ntsvr\CurVer P}D@@y1  
uPX?*=`u]'  
{~$ <B)B  
File:  NTDETECT.exe   LS^V3-]  
Status:  INFECTED/MALWARE   ~!j41GS]  
MD5:  ebb252dbbcb3ad20952f265405467914   #,Kge#]?  
Packers detected:  - Qzw5^Xa  
Yvu'U%&\~-  
AntiVir  Found TR/Agent.ZP.4.B   )O(3h1J%  
ArcaVir  Found nothing \=A8)ne  
Avast  Found Win32:Agent-DJE   S`5MVX6o  
AVG Antivirus  Found Dropper.Agent.CBZ   y=|!j4 t  
BitDefender  Found Trojan.Dropper.Agent.N   3C3d#"kC  
ClamAV  Found nothing ]: NS Ke  
CPsecure  Found Troj.Dropper.W32.Agent.aye   `Lo=QgC  
Dr.Web  Found Trojan.MulDrop.4417   ve{z"  
F-Prot Antivirus  Found W32/Agent   f;m"XUu2  
F-Secure Anti-Virus  Found Trojan-Dropper.Win32.Agent.aye   }S<m:eh&C  
Fortinet  Found nothing R_8,<c*R  
Ikarus  Found Trojan-Dropper.Win32.Agent.aye   3<kEKk{  
Kaspersky Anti-Virus  Found Trojan-Dropper.Win32.Agent.aye   b\Ph+fQG  
NOD32  Found nothing 0{%.Tn  
Norman Virus Control  Found nothing %S I' z  
Panda Antivirus  Found nothing =g0Bvp [  
Sophos Antivirus  Found nothing _ oV$`Q  
VirusBuster  Found nothing VzxM)(,8D  
VBA32  Found Trojan-Dropper.Win32.Agent.aye  
我的QQ空间
http://user.qzone.qq.com/26990630
反病毒爱好者病毒救援群:14580780
顶端 Posted: 2008-08-22 14:42 | [楼 主]
sunny
吾日三而省乎己!
级别: 论坛版主


精华: 5
发帖: 2858
威望: 351 点
星星铁: 589 块
贡献值: 22 点
在线时间:203(小时)
注册时间:2006-04-28
最后登录:2008-11-20
引用 推荐 编辑 只看 复制

 

不错,觉得应该更详细点就好了,对于具体的注册键研究细致就是完美了
img: http://avfbbs.80port.net/uploaded/Fid_104/104_1917_f47c800659a1829.jpg
顶端 Posted: 2008-08-22 15:33 | 1 楼
banbosuiyue
级别: AVF初窥者


精华: 0
发帖: 1
威望: 10 点
星星铁: 1 块
贡献值: 0 点
在线时间:0(小时)
注册时间:2008-08-07
最后登录:2008-08-26
引用 推荐 编辑 只看 复制

 

嗯,不错。。。。
顶端 Posted: 2008-08-25 14:59 | 2 楼
hyant
级别: DOS 3.X


精华: 0
发帖: 126
威望: 1 点
星星铁: 174 块
贡献值: 0 点
在线时间:19(小时)
注册时间:2008-04-22
最后登录:2008-11-30
引用 推荐 编辑 只看 复制

 

看不懂,晕倒……
顶端 Posted: 2008-08-26 15:33 | 3 楼
帖子浏览记录 版块浏览记录
Anti-Virus Fans » 病毒分析解决报告区

Time now is:12-02 06:05, Gzip enabled
Powered by PHPWind v6.3.2 Certificate Code © 2003-08 PHPWind.com Corporation