VT Detection ratio: 1 / 46 3807794.dll

墨家小子

https://www.virustotal.com/en/fi ... nalysis/1366267282/

hddu

2013-04-18 15:00:51    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:F:\virus\3807794\3807794.dll,*
触发规则:应用程序规则->系统程序->%windir%\Explorer.EXE->?:\*


2013-04-18 15:00:52    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%SystemDrive%\*.exe


2013-04-18 15:00:59    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG00
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2013-04-18 15:01:00    创建文件      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\as98213.txt
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\Documents and Settings\*\Application Data\*


2013-04-18 15:01:00    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG01
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-04-18 15:01:00    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG02
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-04-18 15:01:00    创建文件      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\of8ql.js
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\Documents and Settings\*\Application Data\*


2013-04-18 15:01:01    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG03
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-04-18 15:01:02    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG04
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-04-18 15:01:02    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG06
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-04-18 15:01:03    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exe
更改后:C:\DOCUME~1\ALLUSE~1\APPLIC~1\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG00
更改前:C:\WINDOWS\system32\CTFMON.EXE
触发规则:应用程序规则->Documents and Settings设置->?:\Documents and Settings\*->*\Software\Microsoft\Windows\CurrentVersion\Run*


2013-04-18 15:01:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-04-18 15:01:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-04-18 15:01:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-04-18 15:01:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-04-18 15:01:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-04-18 15:01:05    创建文件      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\msconfig.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动*\*.lnk


2013-04-18 15:01:05    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->程序->?:\*


2013-04-18 15:01:08    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*


2013-04-18 15:01:13    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*


2013-04-18 15:01:36    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\Program Files\Windows Media Player\wmplayer.exe
触发规则:应用程序规则->程序->?:\*


2013-04-18 15:01:38    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
目标进程:C:\Program Files\Windows Media Player\wmplayer.exe
触发规则:所有程序规则->*


2013-04-18 15:01:47    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
目标进程:C:\Program Files\Windows Media Player\wmplayer.exe
触发规则:所有程序规则->*


2013-04-18 15:02:14    运行应用程序      操作:阻止并结束进程
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG07
触发规则:所有程序规则->系统进程设置->%windir%\system32\rundll32.exe

墨家小子

hddu 发表于 2013-4-18 15:01
2013-04-18 15:00:51    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WI ...

2013-04-18 15:01:38    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
目标进程:C:\Program Files\Windows Media Player\wmplayer.exe
触发规则:所有程序规则->*

阻止创建IE，就用这招了？反正不给联网就锁不了屏

hddu

墨家小子 发表于 2013-4-18 15:07
阻止创建IE，就用这招了？反正不给联网就锁不了屏

这一步才是锁屏的关键，多次测试，只有这步允许了，立马锁屏，也可能是EQ本身原因。
也可能是自己的不才。

2013-04-18 15:02:14    运行应用程序      操作:阻止并结束进程
进程路径:C:\Documents and Settings\All Users\Application Data\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\lq8fo.dat,FG07
触发规则:所有程序规则->系统进程设置->%windir%\system32\rundll32.exe

墨家小子

hddu 发表于 2013-4-18 15:17
这一步才是锁屏的关键，多次测试，只有这步允许了，立马锁屏，也可能是EQ本身原因。
也可能是自己的不才 ...

这个东东不就是通过联网下载的吗？

hddu

墨家小子 发表于 2013-4-18 15:18
这个东东不就是通过联网下载的吗？

非也，样本创建并调用，日志已较清楚了。
为何要阻止IE调用，除非特殊。

墨家小子

hddu 发表于 2013-4-18 15:26
非也，样本创建并调用，日志已较清楚了。
为何要阻止IE调用，除非特殊。

是吗 我没看到呢有没有锁屏画面贡献一张

Flameocean

a445441

辽宁大连~~小海

管家杀