楼主: vm001
收起左侧

[病毒样本] 远控木马【关键是启动项加的牛逼--二楼有查杀方法】

  [复制链接]
230f4
发表于 2017-2-15 13:12:43 | 显示全部楼层


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
supernatural
发表于 2017-2-16 13:20:37 | 显示全部楼层
下来试试先,难道要回复才能下载吗?
liulangzhecgr
发表于 2017-2-23 10:16:58 | 显示全部楼层
[mw_shl_code=css,true]2017/2/23 10:00:29        c:\program files\microsoft visual foxpro 7\vfp7.exe        创建新进程        g:\download\远控木马母体\server.exe        允许        [应用程序]*        命令行: g:\download\远控木马母体\server.exe
2017/2/23 10:00:38        g:\download\远控木马母体\server.exe        读文件夹        D:\vfp6\MY        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:03:13        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:04:06        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:04:48        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:05:10        g:\download\远控木马母体\server.exe        创建文件夹        C:\$MSRecycle.Bin        允许        [应用程序组]病毒测试 -> [文件]?:\       
2017/2/23 10:05:15        g:\download\远控木马母体\server.exe        设置文件夹隐藏属性        C:\$MSRecycle.Bin        允许        [应用程序组]病毒测试 -> [文件]?:\       
2017/2/23 10:05:19        g:\download\远控木马母体\server.exe        创建文件夹        C:\$MSRecycle.Bin\8.1.00.19303        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:05:24        g:\download\远控木马母体\server.exe        读文件夹 (2)        C:\$MSRecycle.Bin\8.1.00.19303        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:05:31        g:\download\远控木马母体\server.exe        设置文件夹隐藏属性        C:\$MSRecycle.Bin\8.1.00.19303        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:05:35        g:\download\远控木马母体\server.exe        创建文件        C:\$MSRecycle.Bin\8.1.00.19303\kugou.dll        允许        [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.dll       
2017/2/23 10:05:40        g:\download\远控木马母体\server.exe        创建文件        C:\$MSRecycle.Bin\ctfmon.exe        允许        [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.exe       
2017/2/23 10:05:43        g:\download\远控木马母体\server.exe        创建文件        C:\$MSRecycle.Bin\QQGame.exe        允许        [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.exe       
2017/2/23 10:05:49        g:\download\远控木马母体\server.exe        修改文件        C:\$MSRecycle.Bin\QQGame.exe        允许        [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.exe       
2017/2/23 10:05:51        g:\download\远控木马母体\server.exe        创建新进程        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序组]病毒测试 -> [子应用程序]*        命令行: C:\$MSRecycle.Bin\QQGame.exe
2017/2/23 10:05:58        g:\download\远控木马母体\server.exe        读文件        C:\Windows\AppPatch\sysmain.sdb        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:06:08        g:\download\远控木马母体\server.exe        访问COM接口        {4991D34B-80A1-4291-83B6-3328366B9097} Background Intelligent Transfer Control Class 1.0        允许        [应用程序组]病毒测试 -> [COM接口]*       
2017/2/23 10:06:13        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:06:17        c:\windows\system32\svchost.exe        访问COM接口        {4E14FBA2-2E22-11D1-9964-00C04FBBB345} EventSystem.EventSystem.1        允许        [应用程序]c:\windows\system32\svchost.exe       
2017/2/23 10:06:36        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:06:41        g:\download\远控木马母体\server.exe        创建注册表项        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:06:49        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:06:55        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments\HideZoneInfoOnProperties        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000001(1)
2017/2/23 10:06:59        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:07:01        g:\download\远控木马母体\server.exe        创建注册表项        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:07:08        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:07:10        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\HideZoneInfoOnProperties        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000001(1)
2017/2/23 10:07:17        c:\windows\system32\conhost.exe        向其他进程发送消息        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        消息: WM_GETICON
2017/2/23 10:09:36        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSDTC\ObjectName        允许        [应用程序组]病毒测试 -> [注册表]*        值: LocalSystem
2017/2/23 10:09:38        c:\windows\system32\conhost.exe        向其他进程复制句柄        c:\$msrecycle.bin\qqgame.exe        允许        [应用程序]*        句柄: (Event) 0x00000080
2017/2/23 10:09:43        g:\download\远控木马母体\server.exe        读文件夹        C:\Windows\System32        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:09:47        c:\$msrecycle.bin\qqgame.exe        加载动态链接库        c:\windows\system32\sechost.dll        允许        [应用程序]*       
2017/2/23 10:09:50        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Local\Microsoft\Windows\Caches\cversions.1.db        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:09:52        c:\$msrecycle.bin\qqgame.exe        加载动态链接库        c:\windows\system32\winbrand.dll        允许        [应用程序]*       
2017/2/23 10:09:54        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000009.db        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:09:56        c:\$msrecycle.bin\qqgame.exe        加载动态链接库        c:\windows\system32\imm32.dll        允许        [应用程序]*       
2017/2/23 10:10:01        g:\download\远控木马母体\server.exe        读文件 (3)        C:\Users\baba\Desktop\desktop.ini        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:10:04        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:05        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:06        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:07        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:08        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:10:21        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000001(1)
2017/2/23 10:10:24        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:25        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:26        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:27        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:10:29        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:10:30        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000001(1)
2017/2/23 10:10:33        g:\download\远控木马母体\server.exe        读文件夹 (2)        C:\Windows\System32        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:10:52        g:\download\远控木马母体\server.exe        创建新进程        c:\windows\system32\sc.exe        允许        [应用程序组]病毒测试 -> [子应用程序]*        命令行: "C:\Windows\System32\sc.exe"  config MSDTC start= auto
2017/2/23 10:10:55        g:\download\远控木马母体\server.exe        访问COM接口        {4991D34B-80A1-4291-83B6-3328366B9097} Background Intelligent Transfer Control Class 1.0        允许        [应用程序组]病毒测试 -> [COM接口]*       
2017/2/23 10:10:57        g:\download\远控木马母体\server.exe        读文件夹        C:\Users\baba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:10:58        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:00        g:\download\远控木马母体\server.exe        修改文件        C:\Users\baba\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:01        g:\download\远控木马母体\server.exe        读文件夹        C:\Users\baba\AppData\Roaming\Microsoft\Windows\Cookies        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:02        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Roaming\Microsoft\Windows\Cookies\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:03        g:\download\远控木马母体\server.exe        修改文件        C:\Users\baba\AppData\Roaming\Microsoft\Windows\Cookies\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:04        g:\download\远控木马母体\server.exe        读文件夹        C:\Users\baba\AppData\Local\Microsoft\Windows\History\History.IE5        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:05        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:06        g:\download\远控木马母体\server.exe        修改文件        C:\Users\baba\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:06        g:\download\远控木马母体\server.exe        创建注册表项        HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\server_RASAPI32        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:11:07        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\EnableFileTracing        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:11:11        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\EnableConsoleTracing        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:11:12        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\FileTracingMask        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0xffff0000(4294901760)
2017/2/23 10:11:13        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\ConsoleTracingMask        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0xffff0000(4294901760)
2017/2/23 10:11:14        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\MaxFileSize        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00100000(1048576)
2017/2/23 10:11:16        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASAPI32\FileDirectory        允许        [应用程序组]病毒测试 -> [注册表]*        值: %windir%\tracing
2017/2/23 10:11:17        g:\download\远控木马母体\server.exe        创建注册表项        HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\server_RASMANCS        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:11:21        g:\download\远控木马母体\server.exe        读文件夹        C:\Windows\System32\ras        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:25        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\EnableFileTracing        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:11:28        g:\download\远控木马母体\server.exe        读文件夹        C:\Users\baba\AppData\Roaming\Microsoft\Network\Connections\Pbk        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:30        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\EnableConsoleTracing        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:11:31        g:\download\远控木马母体\server.exe        读文件        C:\Users\baba\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:33        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\FileTracingMask        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0xffff0000(4294901760)
2017/2/23 10:11:35        g:\download\远控木马母体\server.exe        读文件夹        C:\Users\baba\AppData\Roaming\Microsoft\Network\Connections\Pbk        允许        [应用程序组]病毒测试 -> [文件]*       
2017/2/23 10:11:37        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\ConsoleTracingMask        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0xffff0000(4294901760)
2017/2/23 10:11:38        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00000000(0)
2017/2/23 10:11:40        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\MaxFileSize        允许        [应用程序组]病毒测试 -> [注册表]*        值: 0x00100000(1048576)
2017/2/23 10:11:41        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:11:43        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\server_RASMANCS\FileDirectory        允许        [应用程序组]病毒测试 -> [注册表]*        值: %windir%\tracing
2017/2/23 10:11:45        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:11:54        g:\download\远控木马母体\server.exe        删除注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL        允许        [应用程序组]病毒测试 -> [注册表]*       
2017/2/23 10:11:56        g:\download\远控木马母体\server.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings        允许        [应用程序组]病毒测试 -> [注册表]*        值: 46 00 00 00 c6 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
[/mw_shl_code]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 02:33 , Processed in 0.095416 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表