收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 測主防,cmd流
1234567下一页
返回列表 发新帖
查看: 18182|回复: 66
收起左侧

[病毒样本] 測主防,cmd流

  [复制链接]
a256886572008
发表于 2013-1-8 23:50:42 | 显示全部楼层 |阅读模式
重點就一步,執行腳本 寫啟動項。

2013-01-08 23:30:13   C:\virus\dcc2\dcc2.exe   Sandboxed As   Partially Limited   

2013-01-08 23:30:15   C:\virus\dcc2\dcc2.exe   Modify File   C:\Documents and Settings\Roger\Application Data\Addblocke\addblocke.exe   

2013-01-08 23:30:17   C:\Documents and Settings\Roger\Application Data\Addblocke\addblocke.exe   Sandboxed As   Partially Limited   

2013-01-08 23:34:54   C:\Program Files\Internet Explorer\IEXPLORE.EXE   Sandboxed As   Partially Limited   

2013-01-08 23:34:56   C:\WINDOWS\system32\ipconfig.exe   Sandboxed As   Partially Limited   

2013-01-08 23:34:58   C:\WINDOWS\system32\notepad.exe   Sandboxed As   Partially Limited   

2013-01-08 23:35:14   C:\DOCUME~1\Roger\LOCALS~1\Temp\FSORU.bat   Sandboxed As   Partially Limited   

2013-01-08 23:35:15   C:\WINDOWS\system32\reg.exe   Sandboxed As   Partially Limited   

2013-01-08 23:35:22   C:\Documents and Settings\Roger\Application Data\Addblocke\addblocke.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\OTYEF.bat   

2013-01-08 23:35:22   C:\WINDOWS\system32\reg.exe   Modify Key   HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\Addblocke  

2013-01-08 23:35:22   C:\WINDOWS\system32\ipconfig.exe   Modify Key   HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT\EventMessageFile   

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
firefox3 + 1 CMD流不如我飞天御剑流 哈哈

查看全部评分

回复

举报

zst470396853
发表于 2013-1-8 23:56:58 | 显示全部楼层
本帖最后由 zst470396853 于 2013-1-9 00:08 编辑

先看GD的


在来360



金山K+被过。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

284678343
发表于 2013-1-8 23:58:28 | 显示全部楼层
本帖最后由 284678343 于 2013-1-9 03:38 编辑

卡巴斯基未报异常,To Kaspersky

dcc2.exe - Trojan.Win32.VBKrypt.owis
  1. 2013/01/08 星期二 23:56:49        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  2. 2013/01/08 星期二 23:56:49        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  3. 2013/01/08 星期二 23:56:48        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  4. 2013/01/08 星期二 23:56:48        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  5. 2013/01/08 星期二 23:56:44        360安全浏览器        PARAMETERS        已允许: SystemServices2        hklm\SYSTEM\CONTROLSET001\SERVICES\TCPIP\       
  6. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  7. 2013/01/08 星期二 23:56:44        360安全浏览器        PARAMETERS        已允许: SystemServices2        hklm\SYSTEM\CONTROLSET001\SERVICES\TCPIP\       
  8. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  9. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  10. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  11. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  12. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  13. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  14. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  15. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  16. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  17. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  18. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  19. 2013/01/08 星期二 23:56:44        360安全浏览器        PARAMETERS        已允许: SystemServices2        hklm\SYSTEM\CONTROLSET001\SERVICES\TCPIP\       
  20. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  21. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  22. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  23. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  24. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  25. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  26. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  27. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  28. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  29. 2013/01/08 星期二 23:56:44        Registry Console Tool        Addblocke        已允许: Main_Run        hkey_users\S-1-5-21-2962589986-1910409685-654368533-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\       
  30. 2013/01/08 星期二 23:56:40        360安全浏览器        PARAMETERS        已允许: SystemServices2        hklm\SYSTEM\CONTROLSET001\SERVICES\TCPIP\       
  31. 2013/01/08 星期二 23:56:38        Registry Console Tool        未知应用程序        已允许: 启动其它进程        C:\WINDOWS\SYSWOW64\reg.exe       
  32. 2013/01/08 星期二 23:56:33        Registry Console Tool        未知应用程序        已允许: 启动其它进程        C:\WINDOWS\SYSWOW64\reg.exe       
  33. 2013/01/08 星期二 23:55:48        360安全浏览器        360se.exe        已允许: 安装钩子        C:\Users\284678343\AppData\Roaming\360se\bin\       
  34. 2013/01/08 星期二 23:55:48        Notepad        受信任组        将应用程序移至 受信任组        C:\WINDOWS\SYSWOW64\NOTEPAD.EXE       
  35. 2013/01/08 星期二 23:55:41        Registry Console Tool        受信任组        将应用程序移至 受信任组        C:\WINDOWS\SYSWOW64\reg.exe       
  36. 2013/01/08 星期二 23:55:40        IP Configuration Utility        受信任组        将应用程序移至 受信任组        C:\WINDOWS\SYSWOW64\IPCONFIG.EXE       
  37. 2013/01/08 星期二 23:55:33        Disseminees ecoutions grince' plane`te        低限制组        将应用程序移至 低限制组        C:\USERS\284678343\APPDATA\ROAMING\ADDBLOCKE\ADDBLOCKE.EXE       
  38. 2013/01/08 星期二 23:55:20        Disseminees ecoutions grince' plane`te        explorer.exe        已允许: 重复句柄        c:\windows\       
  39. 2013/01/08 星期二 23:54:52        Disseminees ecoutions grince' plane`te        低限制组        将应用程序移至 低限制组        C:\Test\dcc2.exe       
复制代码
回复

举报

a256886572008
 楼主| 发表于 2013-1-9 00:06:15 | 显示全部楼层
284678343 发表于 2013-1-8 23:58
卡巴斯基

卡八默認的 自動模式,被穿破了?
回复

举报

Nocria
发表于 2013-1-9 00:10:35 | 显示全部楼层
IKARUS

File scanned: C:\Users\TOSHIBA\Desktop\dcc2.exe - SIGNATURE FOUND "Trojan-Dropper.Win32.Injector"

To ESET.
回复

举报

284678343
发表于 2013-1-9 00:11:00 | 显示全部楼层
本帖最后由 284678343 于 2013-1-9 00:15 编辑
a256886572008 发表于 2013-1-9 00:06
卡八默認的 自動模式,被穿破了?


这不是自动模式...是交互模式下的记录,我全部允许了,不过可以阻止~
遗憾的是,如果自动模式下,生成addblocke.exe,而且没有任何提示~
回复

举报

a256886572008
 楼主| 发表于 2013-1-9 00:15:29 | 显示全部楼层
284678343 发表于 2013-1-9 00:11
这不是自动模式...是交互模式下的记录(我全部允许了)...

如果非交互呢?

回复

举报

284678343
发表于 2013-1-9 00:16:30 | 显示全部楼层
a256886572008 发表于 2013-1-9 00:15
如果非交互呢?

妥妥哒 完蛋~
回复

举报

vm001
发表于 2013-1-9 00:20:50 | 显示全部楼层
zst470396853 发表于 2013-1-8 23:56
先看GD的

金山误判白
回复

举报

mmppp9898
发表于 2013-1-9 00:42:20 | 显示全部楼层
360卫士秒杀,报QVM03!
关闭360卫士,并用微点结束ZhuDongFangYu进程后,微点无视该样本运行,双击没有任何反应!
并且即刻蓝屏!但蓝屏后自动重启进系统,一切正常,未发现添加启动项或可疑进程运行!并且样本依然存在!不太明白原因,推测可能是样本成功运行后,在与微点夺权,导致蓝屏,但最终微点也许还是防住了该样本,只是防御的很不漂亮!
求A大分析解释!
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-16 20:07 , Processed in 0.125715 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表