看看红伞报的结果[MD5: C8A86A]

显示全部楼层 · 发表于 2007-7-12 15:37:34

双重扩展名。。。。

显示全部楼层 · 发表于 2007-7-12 15:37:39

明显没看#2

显示全部楼层 · 发表于 2007-7-12 15:41:23

写入硬盘底层？

显示全部楼层 · 发表于 2007-7-12 15:44:43

The file 'hacker.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.Germi. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 6.39.00.137.

显示全部楼层 · 发表于 2007-7-12 15:47:30

原帖由 promised 于 2007-7-12 15:37 发表
明显没看#2

显示全部楼层 · 发表于 2007-7-12 15:51:39

有人上报了

[ 本帖最后由 promised 于 2007-7-12 15:54 编辑 ]

显示全部楼层 · 发表于 2007-7-12 15:56:59

運行hacker.exe，發現下列行為，被EQ-Secure RC4攔截！

2007-07-12 15:47:46 创建文件    操作:允许
进程路径:D:\桌面\virus\C8A86A\hacker\hacker.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\*

2007-07-12 15:47:46 创建文件    操作:允许
进程路径:D:\桌面\virus\C8A86A\hacker\hacker.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\brc_Server.dat
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\*

2007-07-12 15:47:47 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieProcessId
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:47 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieCurrentState
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:47 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieControlsAccepted
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:47 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieControlCode
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:48 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieControlsAccepted
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:48 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieWin32ExitCode
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:48 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieServiceSpecificExitCode
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:48 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieCheckPoint
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

2007-07-12 15:47:48 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Hung  Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winsp2dmod.exe
注册表路径:HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
注册表名称:SbieWaitHint
触发规则:所有程序规则->2.1.2组：保护系统服务和驱动，禁止更改用户权限->*\SYSTEM\CurrentControlSet*\Services

1.他會在C\windows\system32\生成
winsp2dmod.exe
brc_Server.dat
2.winsp2dmod.exe會修改注册表内容
HKEY_CURRENT_USER\machine\System\CurrentControlSet\Services\WinNTsystem
SbieProcessId
SbieCurrentState
SbieControlsAccepted
SbieControlCode
SbieWin32ExitCode
SbieServiceSpecificExitCode
SbieCheckPoint
SbieWaitHint

樓主，您是有用sandboxie運行過hacker.exe嗎

[ 本帖最后由 a256886572008 于 2007-7-12 15:58 编辑 ]

显示全部楼层 · 发表于 2007-7-12 16:10:00

原帖由 a256886572008 于 2007-7-12 15:56 发表
運行hacker.exe，發現下列行為，被EQ-Secure RC4攔截！

1.他會在C\windows\system32\生成
winsp2dmod.exe
brc_Server.dat
2.winsp2dmod.exe會修改注册表内容
HKEY_CURRENT_US ...

这么多?我就一步,程序安装模式:黑名单阻止:>*.rar.exe

2007-07-12 16:02:56 创建文件操作:阻止
进程路径:D:\Program Files\WinRAR\WinRAR.exe
文件路径:D:\Documents and Settings\dell\Local Settings\Temp\Rar$EX00.768\hacker.rar.exe

显示全部楼层 · 发表于 2007-7-12 16:33:44

micropoint
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WINNTSYSTEM \ IMAGEPATH "C:\WINDOWS\SYSTEM32\WINSP2DMOD.EXE" /SERVICE

显示全部楼层 · 发表于 2007-7-12 16:37:20

好不容易抓到这个画面！

[病毒样本] 看看红伞报的结果[MD5: C8A86A]

回复 #10 scottxzt 的帖子

本帖子中包含更多资源

回复 #15 scottxzt 的帖子

本帖子中包含更多资源

本帖子中包含更多资源