TDSS 型 fake AV

显示全部楼层 · 发表于 2011-11-10 15:49:12

2011-11-10 14:48:04 C:\Documents and Settings\Roger\桌面\virus\12\12.EXE Sandboxed As Partially Limited

2011-11-10 14:48:05 C:\Documents and Settings\All Users\Application Data\privacy.exe Sandboxed As Partially Limited

2011-11-10 14:48:10 C:\Documents and Settings\Roger\桌面\virus\12\12.EXE Access COM Interface GLOBALROOT\RPC Control

2011-11-10 14:48:10 C:\Documents and Settings\Roger\桌面\virus\12\12.EXE Modify File C:\Documents and Settings\All Users\桌面\Privacy Protection.lnk

2011-11-10 14:48:10 C:\Documents and Settings\Roger\桌面\virus\12\12.EXE Access Memory C:\WINDOWS\explorer.exe

2011-11-10 14:48:10 C:\Documents and Settings\Roger\桌面\virus\12\12.EXE Modify Key HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

2011-11-10 14:48:10 C:\Documents and Settings\All Users\Application Data\privacy.exe Direct Disk Access PhysicalDrive0

2011-11-10 14:48:10 C:\Documents and Settings\All Users\Application Data\privacy.exe Modify Key HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\Privacy Protection

2011-11-10 14:48:10 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

2011-11-10 14:48:10 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\WINDOWS\SOUNDMAN.EXE

2011-11-10 14:48:16 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\Java\jre6\bin\jqs.exe

2011-11-10 14:48:16 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\OpenOffice.org 3\program\soffice.bin

2011-11-10 14:48:22 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\OpenOffice.org 3\program\soffice.exe

2011-11-10 14:48:22 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

2011-11-10 14:48:28 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\PCMan Combo\PCMan.exe

2011-11-10 14:48:28 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\WINDOWS\system32\IME\Chewing\ChewingServer.exe

2011-11-10 14:48:35 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\Paint.NET\PaintDotNet.exe

2011-11-10 14:48:59 C:\Documents and Settings\All Users\Application Data\privacy.exe Access Memory C:\Program Files\Opera\opera.exe

2011-11-10 14:53:50 c:\documents and settings\roger\桌面\virus\12\12.exe Scanned Online and Found Malicious

全局結束所有非系統進程。

显示全部楼层 · 发表于 2011-11-10 15:53:35

本帖最后由 jayavira 于 2011-11-10 15:57 编辑

hitman miss
TF kill

显示全部楼层 · 发表于 2011-11-10 15:54:33

卡巴清空 ~~

显示全部楼层 · 发表于 2011-11-10 16:33:02

FS扫描不报运行全报有害

显示全部楼层 · 发表于 2011-11-10 16:34:10

360清空

显示全部楼层 · 发表于 2011-11-10 16:34:52

2011-11-10 16:35:14 加载动态链接库阻止
进程: c:\windows\system32\spoolsv.exe
目标: c:\documents and settings\cwb\local settings\temp\57.tmp
规则: [应用程序]c:\windows\*.exe -> [动态链接库]*\temp\*

2011-11-10 16:35:14 创建文件阻止
进程: f:\病毒实机测试\12\12.exe
目标: C:\Documents and Settings\All Users\Application Data\privacy
规则: [应用程序]?:\*\*.exe -> [文件组]仅阻止创建的文件

2011-11-10 16:35:14 修改文件阻止
进程: f:\病毒实机测试\12\12.exe
目标: F:\病毒实机测试\12\12.EXE
规则: [应用程序]?:\*\*.exe -> [文件组]其他可执行文件

2011-11-10 16:35:14 修改注册表值阻止
进程: f:\病毒实机测试\12\12.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\cwb\LOCALS~1\Temp\58.tmp
规则: [应用程序]?:\*\*.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

显示全部楼层 · 发表于 2011-11-10 16:46:29

本帖最后由 qzmxy2006 于 2011-11-10 16:47 编辑

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/11/10 ( 16:47:10 )
上次使用时间 2011/11/10 ( 16:47:10 )
启动项目否
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe

创建的文件:
12.exe
____________________________
文件操作
文件: c:\users\若月\downloads\12\12.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\若月\downloads\12\12.exe, PID:1524)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/11/10 ( 16:48:17 )
上次使用时间 2011/11/10 ( 16:48:17 )
启动项目否
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe

创建的文件:
privacy.exe
____________________________
文件操作
文件: c:\users\若月\downloads\privacy\privacy.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\若月\downloads\privacy\privacy.exe, PID:3864)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2011-11-10 16:55:53

zhousulin5 发表于 2011-11-10 16:34
2011-11-10 16:35:14 加载动态链接库阻止
进程: c:\windows\system32\spoolsv.exe
目标: c:\docum ...

最后一条。。。应该允许吧？！

显示全部楼层 · 发表于 2011-11-10 16:57:37

to 江民

显示全部楼层 · 发表于 2011-11-10 16:59:30

本帖最后由 zhousulin5 于 2011-11-10 17:06 编辑

liulangzhecgr 发表于 2011-11-10 16:55
最后一条。。。应该允许吧？！

这个，不好取舍。大部分情况下允许是可以的。但是，恶意软件不仅可以利用它擦除脚印，也可以利用它来删除其他正常的文件甚至替换正常文件，所以我选择了阻止。
主要是MD的RD不能检查最后键值的数据，如果可以，那么%temp%的路径就可以作为一个标志来创建允许规则。
有时候挺怀念EQ的。但是一想到那捉摸不定的配额不足就提不起再次用EQ的勇气，我以前试过什么规则都没有的EQ仍然会遇到配额不足。

[病毒样本] TDSS 型 fake AV

本帖子中包含更多资源

本帖子中包含更多资源