install.exe

onlysee

1

hj5abc

回复 1楼 onlysee  的帖子
to fs.
------------
很猛的病毒...
fs监控和deepguard拦截了N多 还是漏了一些...


   

蝉鸣时

To ESET, KL.

hansyu

to avert(mcafee)

jason_jiang

to xandora(panda)

FBAV

免升级网络化反间谍软件—风暴微塔 P2PSafe 2012
作者：王鹤立   http://hi.baidu.com/迅者
查杀模式： 记录扫描 R3Check 免可信


C:\Downloads\virus32\install\install.exe
-：[I] UnKnownVirus


====总扫描:1 |   发现可疑：1

a369258147

样本名称：install.exe

文件MD5：d6eeffcd2ce47edc7b56356a4711ded1

鉴定结果：正在鉴定...

expensive6688

星星十分悲剧，To Rising（RS20100808092402453656）

小桥流水1

360杀毒扫描日志

病毒库版本：6205386
扫描时间：2010-08-08 11:04:32
扫描用时：00:00:02
扫描类型：右键扫描
扫描文件总数：5
威胁总数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：自动
扫描系统内存：是
扫描磁盘引导区：是
扫描Rootkit：是
使用启发式扫描：是

扫描内容
----------------------
E:\install.exe


白名单设置
----------------------


扫描结果
======================
未发现威胁文件

可疑文件上传结果
----------------------
e:\install.exe        上传成功

wliao

2010-8-8 11:06:42    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\owner\my documents\install.exe
命令行: "C:\Documents and Settings\Owner\My Documents\install.exe"
规则: [应用程序]c:\windows\explorer.exe

2010-8-8 11:06:45    创建文件夹    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: C:\Document
规则: [文件]*

2010-8-8 11:06:46    创建文件    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: C:\Document\__tmp_rar_sfx_access_check_1170500
规则: [文件]*

2010-8-8 11:06:47    创建文件    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: C:\Document\YunImage.fne
规则: [文件]*

2010-8-8 11:06:50    创建文件    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: C:\Document\wu.fan
规则: [文件]*

2010-8-8 11:06:51    创建文件    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: C:\Document\down.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-8-8 11:06:53    创建新进程    允许
进程: c:\documents and settings\owner\my documents\install.exe
目标: c:\document\down.exe
命令行: "C:\Document\down.exe"
规则: [应用程序]*

2010-8-8 11:07:11    访问网络    允许
进程: c:\document\down.exe
目标: UDP [本机 : 1268] ->  [127.0.0.1 : 1268]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:12    访问网络    允许
进程: c:\document\down.exe
目标: UDP [本机 : 64655] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:19    访问网络    允许
进程: c:\document\down.exe
目标: TCP [本机 : 1278] ->  [119.75.217.56 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:24    访问网络    允许
进程: c:\document\down.exe
目标: UDP [本机 : 62327] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:30    访问网络    允许
进程: c:\document\down.exe
目标: TCP [本机 : 1297] ->  [117.135.138.233 : 88 (kerberos)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:37    创建文件    允许
进程: c:\document\down.exe
目标: C:\Documents and Settings\Owner\Local Settings\Temp\Temporary Internet Files\Content.IE5\1DF5SUO4\duogua[1].exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-8-8 11:07:40    创建文件    允许
进程: c:\document\down.exe
目标: C:\1.exe
规则: [文件组]全局FD -> [文件]?:\; *.exe

2010-8-8 11:07:44    创建文件    允许
进程: c:\document\down.exe
目标: C:\Documents and Settings\Owner\Local Settings\Temp\Temporary Internet Files\Content.IE5\REHM1NKR\baidu_logo[1].gif
规则: [文件]*

2010-8-8 11:07:45    访问网络    允许
进程: c:\document\down.exe
目标: UDP [本机 : 50082] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:07:46    创建文件夹    允许
进程: c:\document\down.exe
目标: C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Internet Explorer
规则: [文件]*

2010-8-8 11:07:55    访问网络    允许
进程: c:\document\down.exe
目标: TCP [本机 : 1316] ->  [220.181.111.93 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:05    创建文件    允许
进程: c:\document\down.exe
目标: C:\Documents and Settings\Owner\Local Settings\Temp\Temporary Internet Files\Content.IE5\08VPR437\click[1].exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-8-8 11:08:06    创建文件    允许
进程: c:\document\down.exe
目标: C:\2.exe
规则: [文件组]全局FD -> [文件]?:\; *.exe

2010-8-8 11:08:08    创建文件    允许
进程: c:\document\down.exe
目标: C:\Documents and Settings\Owner\Local Settings\Temp\Temporary Internet Files\Content.IE5\REHM1NKR\Qvodplayer[1].exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-8-8 11:08:09    创建文件    允许
进程: c:\document\down.exe
目标: C:\3.exe
规则: [文件组]全局FD -> [文件]?:\; *.exe

2010-8-8 11:08:20    创建新进程    允许
进程: c:\document\down.exe
目标: c:\1.exe
命令行: "C:\1.exe"
规则: [应用程序]*

2010-8-8 11:08:23    创建新进程    允许
进程: c:\document\down.exe
目标: c:\2.exe
命令行: "C:\2.exe"
规则: [应用程序]*

2010-8-8 11:08:27    访问网络    允许
进程: c:\1.exe
目标: UDP [本机 : 62117] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:32    创建新进程    允许
进程: c:\document\down.exe
目标: c:\3.exe
命令行: "C:\3.exe"
规则: [应用程序]*

2010-8-8 11:08:34    访问网络    允许
进程: c:\1.exe
目标: TCP [本机 : 1330] ->  [122.228.199.83 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:40    访问网络    允许
进程: c:\1.exe
目标: UDP [本机 : 59799] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:50    访问网络    允许
进程: c:\1.exe
目标: UDP [本机 : 1331] ->  [127.0.0.1 : 1331]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:51    访问网络    允许
进程: c:\1.exe
目标: UDP [本机 : 55662] ->  [61.177.7.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:52    访问网络    允许
进程: c:\1.exe
目标: TCP [本机 : 1332] ->  [122.228.199.83 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-8-8 11:08:54    创建文件    允许
进程: c:\1.exe
目标: C:\Documents and Settings\Owner\Local Settings\Temp\Temporary Internet Files\Content.IE5\08VPR437\100008[1].gif
规则: [文件]*

2010-8-8 11:08:56    创建文件    允许
进程: c:\1.exe
目标: C:\Program Files\Common Files\3342346750385.jpg
规则: [文件组]特殊目录 -> [文件]c:\program files\common files

2010-8-8 11:08:58    创建文件    允许
进程: c:\1.exe
目标: C:\Program Files\Common Files\100008.exe
规则: [文件组]特殊目录 -> [文件]c:\program files\common files