很老的样本！但先染毒，有几个杀软杀了不蓝屏的举个手！！！

显示全部楼层 · 发表于 2012-5-5 21:51:24

本帖最后由 qq592019174 于 2012-5-5 21:53 编辑

附金山火眼行为

基本信息
文件名称：1aa4c64363b68622c9426ce96c4186f2
文件哈希：1aa4c64363b68622c9426ce96c4186f2
文件大小：89600字节
创建时间：2012-03-28 11:29:44
文件类型：EXE
PEID信息：ASPack 2.12 -> Alexey Solodovnikov
危险行为监控
行为描述：查找安全软件进程
附加信息：
360tray.exe
avp.exe
ksafetray.exe
mpsvc.exe
ravmond.exe
rsagent.exe
行为描述：利用输入法机制，注入文件到指定进程
附加信息：
explorer.exe
行为描述：关闭Windows系统文件保护，病毒在修改系统文件之前会执行该操作
附加信息：
无
其他行为监控
行为描述：查找指定进程
附加信息：
explorer.exe
行为描述：启动指定服务
附加信息：
%system%\svchost.exe -k netsvcs [%system%\shsvcs.dll]
%system%\svchost.exe -k netsvcs [%system%\tapisrv.dll]
%system%\svchost.exe -k netsvcs [%system%\xmlprov.dll]
%system%\svchost.exe -k netsvcs [%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll]
%system%\svchost.exe -k netsvcs [%system%\mspmsnsv.dll]
%system%\svchost.exe -k LocalService [%system%\upnphost.dll]
%system%\svchost.exe -k LocalService [%system%\regsvc.dll]
%system%\svchost.exe -k netsvcs [%system%\appmgmts.dll]
%system%\svchost.exe -k netsvcs [%system%\mswsock.dll]
%system%\svchost.exe -k netsvcs [%system%\ntmssvc.dll]
%system%\svchost.exe -k netsvcs [%system%\qmgr.dll]
行为描述：疑似查找杀软进程
附加信息：
360TRAY.EXE [360进程]
AVP.EXE [卡巴斯基进程]
KSAFETRAY.EXE [金山相关进程]
MPMON.EXE [微点相关进程]
MPSVC.EXE [微点相关进程]
MPSVC1.EXE [微点相关进程]
MPSVC2.EXE [微点相关进程]
RAVMOND.EXE [瑞星相关进程]
RSAGENT.EXE [瑞星相关进程]
文件操作监控
操作文件MD5 文件大小文件路径
新增 4774523bee62b80aa65abd483c475ca1 110592 %system%\NtmsData\NTMSDATA.BAK
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\appmgmts.dll
新增 489faca9a4766059c0635d2f89de16b2 77048 %system%\NtmsData\NTMSIDX
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\xmlprov.dll
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\qmgr.dll
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\regsvc.dll
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\52A100C8.tmp
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\upnphost.dll
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\mspmsnsv.dll
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\mswsock.dll
新增 7f0622ebe24315fb520f7622f3d666c5 21 %AllUsersProfile%\Application Data...
新增 a31c59be07fa3310e8b84db79d6ae17a 26624 C:\Documents and Settings\LocalSer...
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\ntmssvc.dll
新增 4774523bee62b80aa65abd483c475ca1 110592 %system%\NtmsData\NTMSDATA
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\tapisrv.dll
新增 6dc1f8d6bc90b6da7bffc4cc5a881f32 9893 %SampleStore%\52A12BE1.log
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\pchsvc.dll
新增 7c3e40629d696d289c94e6f4dd0dafc6 816 %system%\NtmsData\NTMSREG
新增 6eba21034793d11337e40c0ad453d69a 89600 D:\shsvcs.dll
新增 cab9de051770a968e3d603760f0792be 724 C:\Documents and Settings\Infotmp....
注册表监控新增删除修改
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\PchSvc
[DataCollection] = [20120309160537.000000-000]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\XMLProv
[FileTracingMask] = [0xffff0000]
[EnableFileTracing] = [0x00000000]
[ConsoleTracingMask] = [0xffff0000]
[FileDirectory] = [%windir%\tracing]
[MaxFileSize] = [0x00100000]
[EnableConsoleTracing] = [0x00000000]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Device Host\Devices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Device Host\HTTP Server\VROOTS\/upnphost
[(NULL)] = [C:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device ...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Device Host\Providers
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\Config
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\Config\Standalone
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\Enum
[Count] = [0x00000001]
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_NTMSSVC\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\upnphost\Enum
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_UPNPHOST\0000]
[Count] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmPmSN\Enum
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_WMDMPMSN\0000]
[Count] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmlprov\Enum
[0] = [Root\LEGACY_XMLPROV\0000]
[NextInstance] = [0x00000001]
[Count] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmlprov\Parameters\Domains
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config\Standalone
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Enum
[0] = [Root\LEGACY_NTMSSVC\0000]
[NextInstance] = [0x00000001]
[Count] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost\Enum
[0] = [Root\LEGACY_UPNPHOST\0000]
[Count] = [0x00000001]
[NextInstance] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum
[NextInstance] = [0x00000001]
[Count] = [0x00000001]
[0] = [Root\LEGACY_WMDMPMSN\0000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmlprov\Enum
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_XMLPROV\0000]
[Count] = [0x00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmlprov\Parameters\Domains

显示全部楼层 · 发表于 2012-5-5 21:51:57

金山处理后结果

显示全部楼层 · 发表于 2012-5-5 21:52:15

能否给个火眼的邀请码？

显示全部楼层 · 发表于 2012-5-5 21:52:40

红伞kill

显示全部楼层 · 发表于 2012-5-5 21:55:12

360kill

显示全部楼层 · 发表于 2012-5-5 21:55:58

ADSLgg 发表于 2012-5-5 21:52
红伞kill

kill没意思
问题是染毒后杀了是否蓝屏！！！！

显示全部楼层 · 发表于 2012-5-5 21:56:00

360

显示全部楼层 · 发表于 2012-5-5 21:57:49

ADSLgg 发表于 2012-5-5 21:52
能否给个火眼的邀请码？

我是官人给的
你去金山论坛攻防区发5个帖子就有了
http://bbs.duba.net/thread-22691595-1-1.html

显示全部楼层 · 发表于 2012-5-5 22:00:08

很老的话题
你先杀了他就不会被感染了

显示全部楼层 · 发表于 2012-5-5 22:03:09

qq592019174 发表于 2012-5-5 21:55
kill没意思
问题是染毒后杀了是否蓝屏！！！！

运行杀了，再找蓝屏原因

[病毒样本] 很老的样本！但先染毒，有几个杀软杀了不蓝屏的举个手！！！

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源