收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 病毒一个,只有3%的杀软能发现。
1234567
返回列表 发新帖
楼主: fs20
 收起左侧

[病毒样本] 病毒一个,只有3%的杀软能发现。

  [复制链接]
hddu
发表于 2011-9-1 20:34:19 | 显示全部楼层
本帖最后由 hddu 于 2011-9-1 21:36 编辑

2011-09-01 20:24:55    运行应用程序      操作:允许
进程路径:F:\virus\Virus\Virus\product package design\setup.exe
文件路径:F:\virus\Virus\Virus\product package design\setup.exe
触发规则:应用程序规则->自动创建规则->?:\*


2011-09-01 20:24:58    运行应用程序      操作:允许
进程路径:F:\virus\Virus\Virus\product package design\setup.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
命令行:1
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-09-01 20:25:11    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
命令行:1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:25:38    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:25:40    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\Microsoft\*.exe

2011-09-01 20:25:40    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\6A3E.FE1
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2011-09-01 20:25:40    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\6A3E.FE1
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2011-09-01 20:25:40    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\6A3E.FE1
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2011-09-01 20:25:42    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
命令行:startC:\Documents and Settings\Administrator\Application Data\dwm.exe%C:\Documents and Settings\Administrator\Application Data
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:26:30    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D.exe
命令行:check
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:26:42    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\dwm.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2011-09-01 20:26:46    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
命令行:startC:\Documents and Settings\Administrator\Application Data\dwm.exe%C:\Documents and Settings\Administrator\Application Data
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:26:53    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\dwm.exe
触发规则:应用程序规则->自动创建规则->?:\*


2011-09-01 20:27:04    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Application Data\dwm.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*


2011-09-01 20:27:05    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\dwm.exe
触发规则:应用程序规则->自动创建规则->?:\*


2011-09-01 20:27:10    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Application Data\dwm.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*


2011-09-01 20:27:11    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
命令行:startC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe%C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:27:32    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\E.exe
命令行:check
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:27:38    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns4.exe
命令行:/I
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:27:41    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\explorer.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\24621.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-09-01 20:27:48    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
命令行:startC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe%C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:27:56    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\csrss.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:27:59    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns4.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns4.exe
命令行:/I
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-09-01 20:28:01    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns4.exe
文件路径:C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\config\*


2011-09-01 20:28:01    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns4.exe
文件路径:C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\config\*

2011-09-01 20:28:01    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ns8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\csrss.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2011-09-01 20:28:03    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\csrss.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:Load
更改后:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
触发规则:所有程序规则->自动运行->*\Software\Microsoft\Windows nt\Currentversion\Windows

2011-09-01 20:28:48    删除文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\My Documents\My Pictures
触发规则:应用程序规则->%ProgramFiles%文件设置->%ProgramFiles%\*.exe->?:\Documents and Settings\*\My Documents\*

2011-09-01 20:28:48    删除文件      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\管理工具
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\管理工具

2011-09-01 20:29:30    删除文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\My Documents\My Pictures
触发规则:应用程序规则->%ProgramFiles%文件设置->%ProgramFiles%\*.exe->?:\Documents and Settings\*\My Documents\*

2011-09-01 20:29:31    删除文件      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\管理工具
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\管理工具
回复

举报

dalianjhc1986
发表于 2011-9-2 01:27:07 | 显示全部楼层
上报eset
回复

举报

liulangzhecgr
发表于 2011-9-2 05:57:26 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-9-2 05:58 编辑
hddu 发表于 2011-8-21 18:50
2011-08-21 18:40:07    运行应用程序      操作:允许
进程路径:F:\virus\Virus\Virus\product package de ...


这个不报毒的话 ... ...该扔?!
回复

举报

c287432622
头像被屏蔽
发表于 2011-9-5 21:25:10 | 显示全部楼层
liulangzhecgr 发表于 2011-9-2 05:57
这个不报毒的话 ... ...该扔?!

确实。。

不规矩动作好多。。。
回复

举报

liulangzhecgr
发表于 2011-9-6 06:41:23 | 显示全部楼层
c287432622 发表于 2011-9-5 21:25
确实。。

不规矩动作好多。。。

看见 样本生成的文件名了吗?!都是起系统文件名啊!
回复

举报

thelordisone
发表于 2011-9-6 23:23:57 | 显示全部楼层
MSE果断杀~
回复

举报

1234567
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-12 13:38 , Processed in 0.086676 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表