查看: 6194|回复: 22
收起左侧

[病毒样本] 測主防,破卡八HIPS自動模式的毒

  [复制链接]
a256886572008
发表于 2011-8-17 01:45:48 | 显示全部楼层 |阅读模式
2011-08-17 01:35:48   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   Sandboxed As   Partially Limited   

2011-08-17 01:35:54   C:\Recycle.Bin\B6232F3A12A.exe   Sandboxed As   Partially Limited   

2011-08-17 01:35:55   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   Scanned Online and Found Malicious      

2011-08-17 01:35:55   C:\Recycle.Bin\B6232F3A12A.exe   Scanned Online and Found Malicious   
  

2011-08-17 01:35:56   C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe   Access Memory   C:\WINDOWS\explorer.exe   

2011-08-17 01:35:56   C:\Recycle.Bin\B6232F3A12A.exe   Access Memory   C:\WINDOWS\explorer.exe  


2011-08-17 01:35:56   C:\DOCUME~1\Roger\LOCALS~1\Temp\RYU295.exe   Sandboxed As   Partially Limited   

2011-08-17 01:36:02   C:\Recycle.Bin\B6232F3A12A.exe   Modify Key   HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations   

2011-08-17 01:36:03   C:\Documents and Settings\Roger\Local Settings\Temp\RYU295.exe   Modify Key   HKUS\S-1-5-21-1390067357-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\4Y3Y0C3A9F7XXE5VHHTVBMO   

2011-08-17 01:36:03   C:\Documents and Settings\Roger\Local Settings\Temp\RYU295.exe   Access Memory   C:\WINDOWS\system32\winlogon.exe   

2011-08-17 01:36:03   C:\Documents and Settings\Roger\Local Settings\Temp\RYU295.exe   Modify Key   HKUS\S-1-5-21-1390067357-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyHttp1.1   




訪問網路

攻擊google 服務器?





雲端報

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
543217
发表于 2011-8-17 02:33:11 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cxwlc2005
发表于 2011-8-17 03:23:14 | 显示全部楼层
本帖最后由 cxwlc2005 于 2011-8-17 03:25 编辑

防火墙提示这个,被SD反而杀了。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liulangzhecgr
发表于 2011-8-17 05:33:14 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-8-17 05:44 编辑

readme ?! 好象前几天运行过 ... ...

---------------------------------------------------------
2011-8-17 05:35:06    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\readme\readme.exe
命令行: "E:\downloads\readme\readme.exe"
规则: [应用程序]*

2011-8-17 05:35:14    创建文件夹    允许
进程: e:\downloads\readme\readme.exe
目标: C:\Recycle.Bin
规则: [文件]*

2011-8-17 05:35:18    修改其他进程的内存    允许
进程: e:\downloads\readme\readme.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-17 05:35:30    设置文件夹隐藏属性    允许
进程: c:\windows\explorer.exe
目标: C:\Recycle.Bin
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-17 05:35:35    创建文件    允许
进程: c:\windows\explorer.exe
目标: C:\Recycle.Bin\B6232F3A61C.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-17 05:35:38    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\recycle.bin\b6232f3a61c.exe
命令行: "C:\Recycle.Bin\B6232F3A61C.exe"
规则: [应用程序]*

2011-8-17 05:35:43    创建文件    允许
进程: c:\recycle.bin\b6232f3a61c.exe
目标: C:\Recycle.Bin\9F1DB6EFFD043EE
规则: [文件]*

2011-8-17 05:35:49    修改其他进程的内存    允许
进程: c:\recycle.bin\b6232f3a61c.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-17 05:36:07    从其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
句柄: (Thread) c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011-8-17 05:36:18    向其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0002
规则: [应用程序]c:\windows\system32\svchost.exe

2011-8-17 05:36:19    向其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000
规则: [应用程序]c:\windows\system32\svchost.exe

2011-8-17 05:36:20    向其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\0001
规则: [应用程序]c:\windows\system32\svchost.exe

2011-8-17 05:36:33    从其他进程复制句柄    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\explorer.exe
句柄: (File) \Device\NTPNP_PCI0008\wave
规则: [应用程序]c:\windows\system32\services.exe

怪啊!temp 文件夹的什么行为没有?!

留侯
发表于 2011-8-17 09:38:58 | 显示全部楼层
大蜘蛛:
readme.exe - infected with Trojan.PWS.SpySweep.52
a256886572008
 楼主| 发表于 2011-8-17 09:40:44 | 显示全部楼层
cxwlc2005 发表于 2011-8-17 03:23
防火墙提示这个,被SD反而杀了。。。

國外流行病毒,居然會攻擊 360
小闹闹
发表于 2011-8-17 09:59:02 | 显示全部楼层
TO nod...
真无奈。。。。。
NOD怎么老杀不出。。。
avast拦截了
hj5abc
发表于 2011-8-17 10:08:01 | 显示全部楼层
小闹闹 发表于 2011-8-17 09:59
TO nod...
真无奈。。。。。
NOD怎么老杀不出。。。

avast!拦截了?
hj5abc
发表于 2011-8-17 10:28:18 | 显示全部楼层
在UAC开启的情况下这个东西竟然没一点反应,无C:\Recycle.Bin\XXXX.exe,无temp下的生成物,也没有可疑启动项..
jefffire
头像被屏蔽
发表于 2011-8-17 10:28:44 | 显示全部楼层
a256886572008 发表于 2011-8-17 09:40
國外流行病毒,居然會攻擊 360

除非能找到360的规则和内核漏洞,否则干360就等于自杀。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 01:54 , Processed in 0.142772 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表