发现一个貌似过360杀毒的病毒程序（有360数字签名）

下载地址 t.cn/RzR7N93 （复制粘贴到浏览器地址栏打开 就会弹出下载提示了）

360杀毒扫描日志

病毒库版本：
扫描时间：2015-01-23 21:16:14
扫描用时：00:00:26
扫描类型：右键扫描
扫描文件总数：189
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：否
扫描压缩包：否
发现病毒处理方式：由360杀毒自动处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：未使用

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\房子室内视频.zip


白名单设置
----------------------


扫描结果
======================
未发现威胁文件

感谢反馈，已提交技术分析

最终扩展名是什么？

沧桑浪子 发表于 2015-1-23 23:11
最终扩展名是什么？

你看不到图吗？exe

东苍君子 发表于 2015-1-24 02:05
你看不到图吗？exe

好多空格，还有.，还有一个0！哈哈

本地QVM

类型：
QVM06.1.Malware.Gen

描述：
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。

扫描引擎：
QVMⅡ人工智能引擎

文件路径：
C:\Documents and Settings\Administrator\桌面\房子室内视频.zip

文件指纹(MD5)：
4a4e44d489892caf9b345ba8c9881379

360杀毒
2015-01-24 09:39:05     上传成功     c:\documents and settings\administrator\桌面\房子室内视频.avi                                                                               (MD5:4a4e44d489892caf9b345ba8c9881379)

沧桑浪子 发表于 2015-1-24 09:45
360杀毒
2015-01-24 09:39:05     上传成功     c:\documents and settings\administrator\桌面\房子室内视 ...

上报之后肯定查杀了

东苍君子 发表于 2015-1-24 14:55
上报之后肯定查杀了

木马程序(Trojan.Generic)
云端已报毒

沧桑浪子 发表于 2015-1-24 15:18 [img][/img]
木马程序(Trojan.Generic)
云端已报毒

嗯，证明是我上报之后360已经收录这个病毒了！
不过360应该加油了，多多推出好引擎 提高技术！
不能单靠用户上报！

希望不要删帖



详细分析的比较多字数控制，只发一部分。
完整内容地址
点评
      启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;篡改系统文件;利用全局消息钩子注入指定文件到其他进程;inline Hook 函数入口代码;删除右键新建中的项;IE 代理服务器设置;添加开机自启动项;添加延迟重命名项，通常用于重启后删除文件;添加Windows防火墙例外，防止访问网络时被防火墙拦截;创建进程;搜索指定窗口;遍历磁盘类型;在系统敏感位置（如开始菜单等)释放链接或快捷方式;创建互斥体;隐藏指定窗口;其他注册表信息;启动指定服务;添加窗口消息钩子...

危险行为监控

• 行为描述：篡改系统文件
  附加信息：
  %system%\config\system.LOG
• 行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
  附加信息：
  %ProgramFiles%\UCBrowser\Application\UCBrowser.exe
• 行为描述：inline Hook 函数入口代码
  附加信息：
  Process：BlueInstaller_bsjmcjwt_132045_.exe
  
  
        kernel32.dll!SetUnhandledExceptionFilter Ordinal: 823 HookType: InlineHook
  Process：irsetup.exe
  
  
        WS2_32.dll!send Ordinal: 19 HookType: InlineHook
        WS2_32.dll!WSASend Ordinal: 76 HookType: InlineHook
• 行为描述：利用全局消息钩子注入指定文件到其他进程
  附加信息：
  %ProgramFiles%\BLDBaseService\hgcounter.dll
  [Hook Module]hgcounter.dll
  [Hook Type]0x00000005
  [Target Process]
  
  

东苍君子 发表于 2015-1-24 20:06
嗯，证明是我上报之后360已经收录这个病毒了！
不过360应该加油了，多多推出好引擎 提高技术！
不能单靠用 ...

感谢楼主支持！
对了，卡饭的那个帖子是你吗？也是提供的这个样本

应该是个UC浏览器的推广包+锁主页

蓝光联盟 推广包

感谢楼主分享