货真价实BMW病毒样本（不是老的CIH）9月4日更新<增加实际修改mbr和BIOS的部分>

显示全部楼层 · 发表于 2011-9-4 21:31:30

这次有底层磁盘操作了...

2011-09-04 21:28:47 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:49 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:51 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys.bak
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:54 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:28:56 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys.bak
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:56 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys1
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:57 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys2
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:58 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:28:59 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys1
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:28:59 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:29:00 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\dllcache\Beep.sys

2011-09-04 21:29:01 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys2
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:29:01 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\dllcache\Beep.sys

2011-09-04 21:29:05 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\Beep.sys
触发规则:高优先规则->999_黑名单x->*\beep.sys

2011-09-04 21:29:26 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:29:27 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:29:29 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys.bak
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:29:30 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\Beep.sys

2011-09-04 21:29:30 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
文件路径:C:\WINDOWS\system32\drivers\bios.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*

2011-09-04 21:29:33 底层写磁盘操作    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\b.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:应用程序规则->220_全部x->*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 修改文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcachebeep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 修改文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcachebeep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 修改文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\beep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\\WINDOWS\system32\dllcache\beep.sys.new
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

2011-09-04 21:29:33 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcachebeep.sys
触发规则:应用程序规则->015_信任程序x->%SystemRoot%\system32\winlogon.exe->%SystemRoot%\*

显示全部楼层 · 发表于 2011-9-4 21:33:53

实际上飘的规则一步搞定

显示全部楼层 · 发表于 2011-9-4 21:40:33

2011-9-4 21:37:01 Create file Denied
Process: c:\documents and settings\administrator\桌面\b.exe
Target: C:\WINDOWS\system32\drivers\bios.sys
Rule: [File Group]f003_保护信任的驱动 -> [File]c:\windows\system32\drivers\*

2011-9-4 21:37:07 Create file Denied and killed the process
Process: c:\documents and settings\administrator\桌面\b.exe
Target: C:\my.sys
Rule: [File Group]f060_行为防御 -> [File]c:\; *.sys

显示全部楼层 · 发表于 2011-9-4 21:57:59

21:56:57:084;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:084;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:114;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\WINDOWS\system32\drivers\bios.sys;
21:56:57:124;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\bios.sys;
21:56:57:134;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\WINDOWS\system32\drivers\beep.sys.bak;
21:56:57:134;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\beep.sys.bak;
21:56:57:154;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\WINDOWS\system32\drivers\bios.sys1;
21:56:57:204;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\bios.sys1;
21:56:57:414;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\WINDOWS\system32\drivers\bios.sys2;
21:56:57:485;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\bios.sys2;
21:56:57:545;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:545;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:545;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改系统文件(G4);C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:595;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\WINDOWS\system32\dllcache\beep.sys;
21:56:57:665;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\dllcache\beep.sys;
21:56:57:675;1536;C:\Documents and Settings\Administrator\桌面\b.exe;删除文件;C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:685;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:685;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:685;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改系统文件(G4);C:\WINDOWS\system32\drivers\beep.sys;
21:56:57:705;1536;C:\Documents and Settings\Administrator\桌面\b.exe;删除文件;C:\WINDOWS\system32\drivers\bios.sys;
21:56:57:705;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:715;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:715;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\my.sys;
21:56:57:745;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\my.sys;
21:56:57:765;1536;C:\Documents and Settings\Administrator\桌面\b.exe;删除文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:775;1536;C:\Documents and Settings\Administrator\桌面\b.exe;创建文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:785;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp;
21:56:57:785;1536;C:\Documents and Settings\Administrator\桌面\b.exe;重命名文件;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hook.rom;
21:56:57:795;1536;C:\Documents and Settings\Administrator\桌面\b.exe;修改文件;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hook.rom;
21:56:57:825;1536;C:\Documents and Settings\Administrator\桌面\b.exe;删除文件;C:\Documents and Settings\Administrator\Local Settings\Temp\hook.rom;
21:56:57:825;1536;C:\Documents and Settings\Administrator\桌面\b.exe;进程退出;;

显示全部楼层 · 发表于 2011-9-4 22:03:56

IDP missed

OA blocked

显示全部楼层 · 发表于 2011-9-4 22:06:19

DW blocked

DefenseWall log file

09.04.2011  22:04:49，模块 C:\Documents and Settings\Administrator\桌面\b.exe， 2:Attempt to open protected file C:\WINDOWS\system32\drivers\bios.sys (资源隔离)

09.04.2011  22:04:49，模块 C:\Documents and Settings\Administrator\桌面\b.exe， Attempt to delete service (服务)

09.04.2011  22:04:49，模块 C:\Documents and Settings\Administrator\桌面\b.exe， Attempt to read directly from the disk \Device\Harddisk0\DR0 (文件 )

09.04.2011  22:04:49，模块 C:\Documents and Settings\Administrator\桌面\b.exe， Attempt to write directly into the disk \Device\Harddisk0\DR0 (文件 )

09.04.2011  22:04:49，模块 C:\Documents and Settings\Administrator\桌面\b.exe， 1:Process is running untrusted now (进程)

显示全部楼层 · 发表于 2011-9-4 22:08:01

TF blocked，MBR未被改

显示全部楼层 · 发表于 2011-9-4 22:11:25

Kaspersky blocked，MBR未被改

2011-9-4 22:08:30 B.EXE 已拒绝: 以写入方式打开服务
2011-9-4 22:08:27 B.EXE 已允许: Drivers
2011-9-4 22:08:24 B.EXE 将应用程序移至低限制组

B.EXE 已删除: PDM.Suspicious driver installation 2011-9-4 22:08:39
B.EXE 已被隔离: PDM.Suspicious driver installation 2011-9-4 22:08:39
B.EXE 已终止: PDM.Suspicious driver installation 2011-9-4 22:08:38
B.EXE 检测到威胁: PDM.Suspicious driver installation 2011-9-4 22:08:28

B.EXE 回滚应用程序操作: 主动防御 2011-9-4 22:08:49

显示全部楼层 · 发表于 2011-9-4 22:13:44

RTDS blocked，MBR未被改
那个Opera可以无视

显示全部楼层 · 发表于 2011-9-4 22:17:18

ESET HIPS

[病毒样本] 货真价实BMW病毒样本（不是老的CIH）9月4日更新<增加实际修改mbr和BIOS的部分>

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源