伪装文本的病毒文件一个

显示全部楼层 · 发表于 2010-11-12 18:10:46

本帖最后由 liulangzhecgr 于 2010-11-12 18:26 编辑

样本：

辅助区有个求救贴，链接地址：http://bbs.kafan.cn/thread-839659-1-1.html

显示全部楼层 · 发表于 2010-11-12 18:16:50

回复 1楼 liulangzhecgr 的帖子

运行后毫无反应

显示全部楼层 · 发表于 2010-11-12 18:19:44

2010-11-12 18:22:37 创建文件    操作:阻止
进程路径:F:\virus\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( [1].^_^. ).TXT\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
文件路径:C:\Windows\IME\360Safes.exe
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\ime\*

2010-11-12 18:22:37 创建文件    操作:阻止
进程路径:F:\virus\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( [1].^_^. ).TXT\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
文件路径:C:\Windows\IME\360Safes.exe
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\ime\*

2010-11-12 18:22:37 创建文件    操作:阻止
进程路径:F:\virus\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( [1].^_^. ).TXT\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
文件路径:C:\Windows\IME\360Safes.exe
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\ime\*

显示全部楼层 · 发表于 2010-11-12 18:22:29

回复 3楼 hddu 的帖子

2010-11-12 06:37:36 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\秒杀详情\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
触发规则:所有程序规则->0-virus test->*

2010-11-12 06:37:57 创建文件    操作:允许
进程路径:E:\virus test\秒杀详情\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
文件路径:C:\Windows\IME\360Safes.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-12 06:40:19 运行应用程序    操作:允许
进程路径:E:\virus test\秒杀详情\迎接冬季的到来，特举行秒杀活动！---详情欢迎亲们到时参加！( .^_^. ).TXT.exe
文件路径:C:\WINDOWS\ime\360Safes.exe
触发规则:所有程序规则->0-virus test->*

2010-11-12 06:40:31 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\ime\360Safes.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:WarnOnHTTPSToHTTPRedirect
触发规则:所有程序规则->A07…系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*

显示全部楼层 · 发表于 2010-11-12 18:23:23

Suspicious Actions Detected
Copies self to other locations
Creates files in windows system directory
Injects code into other processes

CIMA:
http://camas.comodo.com/cgi-bin/ ... 72855ef1fe2e7cc43ae

显示全部楼层 · 发表于 2010-11-12 18:25:03

邮件上报eset

显示全部楼层 · 发表于 2010-11-12 18:30:37

回复 2楼 zuo 的帖子

辅助区链接地址看一看。。。！

可能形势不妙。。。

显示全部楼层 · 发表于 2010-11-12 18:32:59

本帖最后由 liulangzhecgr 于 2010-11-12 18:35 编辑

回复 6楼三生缘石的帖子

金山也对此类病毒做了介绍的具体看http://www.ijinshan.com/news/20101029.shtml

可惜。。。

右键扫描。。。毒霸预览版：

显示全部楼层 · 发表于 2010-11-12 18:38:38

回复 8楼 liulangzhecgr 的帖子

這個樣本不是金山那個

显示全部楼层 · 发表于 2010-11-12 18:45:35

本帖最后由 liulangzhecgr 于 2010-11-12 18:52 编辑

回复 9楼 a256886572008 的帖子

在毒霸论坛捡来的！运行后。。。跟他们讨论。。。没果！
无奈！上卡饭求救。。。！

原样本在毒霸论坛，链接地址：http://bbs.duba.net/thread-22343569-1-1.html

[病毒样本] 伪装文本的病毒文件一个

本帖子中包含更多资源

本帖子中包含更多资源