此物有害？想不明。

hddu

运行此物，EQ日志：


2011-08-11 02:08:54    创建文件      操作:允许
进程路径:F:\virus\light\light.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*


2011-08-11 02:08:55    创建文件      操作:允许
进程路径:F:\virus\light\light.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\F1904DD3
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*


2011-08-11 02:08:55    创建文件      操作:允许
进程路径:F:\virus\light\light.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079\D1D6C079.EXE
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.exe


2011-08-11 02:08:58    创建注册表值      操作:允许
进程路径:F:\virus\light\light.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:D1D6C079
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-08-11 02:08:58    运行应用程序      操作:允许
进程路径:F:\virus\light\light.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079\D1D6C079.EXE
触发规则:应用程序规则->自动创建规则->?:\*


2011-08-11 02:09:00    运行应用程序      操作:允许
进程路径:F:\virus\light\light.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS86.tmp.BAT"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-08-11 02:09:06    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\light\light.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


运行生成物D1D6C079.EXE，EQ日志

2011-08-11 02:10:53    创建文件      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*


2011-08-11 02:10:55    创建文件      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
文件路径:C:\Documents and Settings\Administrator\Application Data\F1904DD3
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*


2011-08-11 02:10:55    创建文件      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079\D1D6C079.EXE
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.exe


2011-08-11 02:10:57    创建注册表值      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:D1D6C079
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-08-11 02:10:57    运行应用程序      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
文件路径:C:\Documents and Settings\Administrator\Application Data\D1D6C079\D1D6C079.EXE
触发规则:应用程序规则->自动创建规则->?:\*


2011-08-11 02:10:59    运行应用程序      操作:允许
进程路径:F:\virus\D1D6C079\D1D6C079.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\POS87.tmp.BAT"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-08-11 02:11:04    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\D1D6C079\D1D6C079.EXE
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


日志显示,没有出现有害的动作，运行生成物，也没有出现有害的动作，

运行后直接重启也没有出现杯具，不明白金山为何报了？想不明，官人能说说吗？


http://bbs.kafan.cn/thread-1049969-1-1.html

jijiasd

还是修改了注册表和cmd 行为问题

方鸿渐

这个，我看不大懂。不过以前我在沙箱运行病毒时，只要是写文件或者删文件都提示是病毒的。从这份日志上看，的确很像病毒啊，先修改注册表值，再删除关键文件，创建病毒程序，运行程序。。。。。。呵呵，只是我猜的，看着像，能否把此物上传？

hddu

jijiasd 发表于 2011-8-11 11:58
还是修改了注册表和cmd 行为问题

想看看乃的测试结果。

jijiasd

hddu 发表于 2011-8-11 12:01
想看看乃的测试结果。

EQ很明白了 好久不玩这些东西了

hddu

方鸿渐 发表于 2011-8-11 11:59
这个，我看不大懂。不过以前我在沙箱运行病毒时，只要是写文件或者删文件都提示是病毒的。从这份日志上看， ...

删除关键文件？ 哪里看出，请指出。

hddu

jijiasd 发表于 2011-8-11 12:01
EQ很明白了 好久不玩这些东西了

乃意思是注册表写启动项有问题啦？ 是否有问题？生成物的测试已很清楚了

hddu

方鸿渐 发表于 2011-8-11 11:59
这个，我看不大懂。不过以前我在沙箱运行病毒时，只要是写文件或者删文件都提示是病毒的。从这份日志上看， ...

写文件不能一定是病毒，修改文件、删除文件病毒可疑性最大，此物只是写入一个文件，创建一个注册表启动项。没有修改、删除系统文件的动作，修改注册表、删除注册表的动作。

左手

hddu 发表于 2011-8-11 12:33
写文件不能一定是病毒，修改文件、删除文件病毒可疑性最大，此物只是写入一个文件，创建一个注册表启动 ...

创可以放行。修改就要拦了。我也是这个意思。
另外。我现在的规则CMD之流全部不可信任。
只有这些日志了：
2011-8-11 16:46:07    设置文件夹隐藏属性    阻止
进程: d:\program files\skin\light.exe
目标: C:\Documents and Settings\炎炎\Application Data\B16D3991
规则: [应用程序组][Filter]program files -> [文件]c:\documents and settings\*\application data\*

2011-8-11 16:46:07    修改注册表值    阻止
进程: d:\program files\skin\light.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\B16D3991
值: C:\Documents and Settings\炎炎\Application Data\B16D3991\B16D3991.EXE
规则: [注册表组]Auto Starts -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-8-11 16:46:07    创建新进程    阻止
进程: d:\program files\skin\light.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c "E:\LOCALS~1\Temp\POS2A.tmp.BAT"
规则: [应用程序组]Untrusted Process

2011-8-11 16:47:58    修改注册表值    阻止
进程: d:\program files\skin\b16d3991.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\B16D3991
值: C:\Documents and Settings\炎炎\Application Data\B16D3991\B16D3991.EXE
规则: [注册表组]Auto Starts -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-8-11 16:47:58    创建新进程    阻止
进程: d:\program files\skin\b16d3991.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c "E:\LOCALS~1\Temp\POS2B.tmp.BAT"
规则: [应用程序组]Untrusted Process

hddu

左手 发表于 2011-8-11 16:47
创可以放行。修改就要拦了。我也是这个意思。
另外。我现在的规则CMD之流全部不可信任。
只有这些日志 ...

2011-8-11 16:46:07    创建新进程    阻止
进程: d:\program files\skin\light.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c "E:\LOCALS~1\Temp\POS2A.tmp.BAT"
规则: [应用程序组]Untrusted Process

创建cmd进程不会有害的，关键看cmd进程干了什么。