b.exe

显示全部楼层 · 发表于 2011-6-23 09:34:52

过卡巴WKS6.0

显示全部楼层 · 发表于 2011-6-23 09:55:09

MSE2.0无视
想用金山云鉴定，但毒霸却说用完了！
表示一下不满

显示全部楼层 · 发表于 2011-6-23 09:56:53

另外，金山报安全（估计还没响应）
360主防+杀毒报危险（qvm）

显示全部楼层 · 发表于 2011-6-23 10:12:27

2011-6-23 09:57:33 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\b\b.exe
命令行: "E:\DownLoads\b\b.exe"
规则: [应用程序]*

2011-6-23 09:57:42 修改其他进程的内存允许
进程: e:\downloads\b\b.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-23 09:57:54 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\recycle.bin\b6232f3a36b.exe
命令行: "C:\Recycle.Bin\B6232F3A36B.exe"
规则: [应用程序]*

2011-6-23 09:58:01 修改其他进程的内存允许
进程: c:\recycle.bin\b6232f3a36b.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-23 09:58:12 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\4Y3Y0C3AUF7XXW7VXRAWUUG
值: C:\Recycle.Bin\B6232F3A36B.exe /q
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-6-23 09:58:19 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:58:25 删除注册表值允许
进程: c:\windows\system32\ctfmon.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-6-23 09:58:29 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:58:37 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\lsass.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:58:38 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\lsass.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:58:43 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:58:44 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:06 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1236] ->  [195.226.220.80 : 444]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-23 09:59:24 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\spoolsv.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:25 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\spoolsv.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:34 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\pmonitor.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:35 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\pmonitor.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:41 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\autosweep.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:46 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\ascservice.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:51 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:51 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:52 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 09:59:56 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\asctray.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:01 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\alg.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:08 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\asc.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:08 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\iobit\advanced systemcare 4\asc.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:13 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:24 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: e:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:29 修改其他进程的内存阻止
进程: c:\windows\explorer.exe
目标: e:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\explorer.exe

2011-6-23 10:00:36 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1237] ->  [195.226.220.80 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-23 10:00:59 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1239] ->  [127.0.0.1 : 1238]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-23 10:01:00 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1240] ->  [195.226.220.80 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

... ...

显示全部楼层 · 发表于 2011-6-23 10:42:56

liulangzhecgr 发表于 2011-6-23 10:12
2011-6-23 09:57:33 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\b\b.exe
...

测试样本后，对系统体检过没有啊？看到那么多的允许，我觉得病毒已经得逞了吧。

显示全部楼层 · 发表于 2011-6-23 10:46:55

zhousulin5 发表于 2011-6-23 10:42
测试样本后，对系统体检过没有啊？看到那么多的允许，我觉得病毒已经得逞了吧。

'鬼影'的变种?!

显示全部楼层 · 发表于 2011-6-23 10:50:35

liulangzhecgr 发表于 2011-6-23 10:46
'鬼影'的变种?!

你不可能就这么一直只是测试，不完善规则吧？

显示全部楼层 · 发表于 2011-6-23 10:52:34

本帖最后由 liulangzhecgr 于 2011-6-23 10:56 编辑

zhousulin5 发表于 2011-6-23 10:50
你不可能就这么一直只是测试，不完善规则吧？

我觉得默认规则对我很合适啊!

--------------------------------------------------------------------------------------
少见的样本!记得以前碰过两次! 没有分数给lz ... ... 以后补上!

显示全部楼层 · 发表于 2011-6-23 11:27:17

本帖最后由 zhousulin5 于 2011-6-23 11:27 编辑

liulangzhecgr 发表于 2011-6-23 10:52
我觉得默认规则对我很合适啊!

----------------------------------------------------------- ...

难道默认规则只能拿来用，不能拿来改？
这种样本不少的。

显示全部楼层 · 发表于 2011-6-23 11:42:44

zhousulin5 发表于 2011-6-23 11:27
难道默认规则只能拿来用，不能拿来改？
这种样本不少的。

不是不改! 默认规则+3条规则 ! 为恶作剧作好准备!... ...

[病毒样本] b.exe

本帖子中包含更多资源

浏览过的版块