收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这是毒吗?
1234下一页
返回列表 发新帖
楼主: 03102408
 收起左侧

[病毒样本] 这是毒吗?

  [复制链接]
liuhsu
发表于 2011-6-17 22:45:24 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

03102408
 楼主| 发表于 2011-6-20 17:09:58 | 显示全部楼层
hx1997 发表于 2011-6-17 17:10
映像劫持



用的瓦斯曲的注册表权限的一个批处理,可是没能防住这个毒(它自启成功了)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zhousulin5
发表于 2011-6-20 18:09:45 | 显示全部楼层
本帖最后由 zhousulin5 于 2011-6-20 18:24 编辑

注意红色的部分。

2011-6-20 18:04:26    结束其他进程    阻止
进程: f:\实机规则测试\11 f\11 f.exe
目标: d:\program files\mozilla firefox\firefox.exe
规则: [应用程序]* -> [目标应用程序]*

2011-6-20 18:14:24    修改注册表值    阻止
进程: f:\实机规则测试\11 f\11 f.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
值: C:\WINDOWS\system32\ctfmon.exe
规则: [应用程序组]本地磁盘分区 -> [注册表组]自动运行程序所在位置

2011-6-20 18:14:24    修改注册表值    阻止
进程: f:\实机规则测试\11 f\11 f.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
值: "F:\实机规则测试\11 F\11 F.exe" -a "%1" %*
规则: [应用程序]f:\实机规则测试\11 f\11 f.exe -> [注册表]HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command

2011-6-20 18:14:24    修改注册表值    阻止
进程: f:\实机规则测试\11 f\11 f.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [应用程序]f:\实机规则测试\11 f\11 f.exe -> [注册表]HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command

2011-6-20 18:14:24    修改注册表值    阻止并结束进程
进程: f:\实机规则测试\11 f\11 f.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
值: "%1" %*
规则: [应用程序组]本地磁盘分区 -> [注册表组]用户设置重要

回复

举报

hx1997
发表于 2011-6-20 19:09:22 | 显示全部楼层
03102408 发表于 2011-6-20 17:09
用的瓦斯曲的注册表权限的一个批处理,可是没能防住这个毒(它自启成功了)。

对批处理不太懂
这毒利用了HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell和exe关联
回复

举报

03102408
 楼主| 发表于 2011-6-21 08:21:12 | 显示全部楼层
HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon
权限只读,不是这的原因!

exe关联没有只读,是它的原因!
回复

举报

arsh
发表于 2011-6-21 09:52:40 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

03102408
 楼主| 发表于 2011-6-21 13:36:52 | 显示全部楼层
不只EXE关联,注册表中搜索11 f.exe在某个IE设置下也有。恢复快照了,没有记下来!
回复

举报

my5mailbox
发表于 2011-6-21 16:19:40 | 显示全部楼层
sep  和 360  都报毒
回复

举报

03102408
 楼主| 发表于 2011-6-24 09:30:51 | 显示全部楼层
它会修改注册表中被瓦斯曲批处理改为只读的EXE关联项的权限为完全访问,然后再修改EXE关联。
回复

举报

Mr.XCLK
发表于 2011-6-24 09:36:22 | 显示全部楼层
类别: 特洛伊木马

描述: 这个程序很危险,它执行来自攻击者的命令。

建议的操作: 立即删除这个软件。

Security Essentials 检测到可能会侵害您的隐私或损坏计算机的程序。您仍然可以访问这些程序所使用的文件而不删除这些程序(不推荐)。若要访问这些文件,请选择“允许”操作,并单击“应用操作”。如果此选项不可用,请以管理员身份登录或请求安全管理员提供帮助。

项目:
containerfile:C:\Documents and Settings\Administrator\桌面\11 F.rar
file:C:\Documents and Settings\Administrator\桌面\11 F.rar->11 F.exe
webfile:C:\Documents and Settings\Administrator\桌面\11 F.rar|http://bbs.kafan.cn/forum.php?mo ... DUyNTUwN3wxMDA4NTMx
webfile:C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{1757ABA1-6566-4D05-95D1-5B37B28123A7}-11 F.rar|http://bbs.kafan.cn/forum.php?mo ... DUyNTUwN3wxMDA4NTMx

联机获取有关此项目的详细信息。
金山、360也报了
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-16 02:38 , Processed in 0.092206 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表