收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 測主防,調用reg.exe
12
返回列表 发新帖
楼主: a256886572008
 收起左侧

[病毒样本] 測主防,調用reg.exe

[复制链接]
a256886572008
 楼主| 发表于 2011-9-24 11:24:09 | 显示全部楼层
hx1997 发表于 2011-9-24 11:22
运行出错,难道反虚拟机

好像是的,CIMA 也會出錯
回复

举报

hx1997
发表于 2011-9-24 11:30:11 | 显示全部楼层
a256886572008 发表于 2011-9-24 11:24
好像是的,CIMA 也會出錯

好像需要.NET 2.0,难道这个原因?
回复

举报

a256886572008
 楼主| 发表于 2011-9-24 11:49:57 | 显示全部楼层
hx1997 发表于 2011-9-24 11:30
好像需要.NET 2.0,难道这个原因?

最近流行的病毒,.net framework 是必須裝的
回复

举报

留侯
发表于 2011-9-24 12:34:43 | 显示全部楼层
大蜘蛛clean,已上报!
回复

举报

hx1997
发表于 2011-9-24 13:29:33 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

xiongchuanxc
发表于 2011-9-24 13:59:25 | 显示全部楼层
完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/9/24 ( 13:57:23 )
上次使用时间 2011/9/24 ( 13:57:23 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
360zip.exe

创建的文件:
setup.exe
____________________________
文件操作
文件: c:\users\simple fish\desktop\setup\setup.exe
已删除
事件: 正在运行进程: c:\users\simple fish\desktop\setup\setup.exe
已终止
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\simple fish\desktop\setup\setup.exe, PID:9984)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
回复

举报

有凤来仪
发表于 2011-9-24 13:59:41 | 显示全部楼层
本帖最后由 有凤来仪 于 2011-9-24 14:05 编辑

为什么要禁运呢?

2011/9/24 13:57:24    创建新进程    允许
进程: c:\program files\wrar350\wrar350sc_onegreen\winrar.exe
目标: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
命令行: "C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe"
规则: [应用程序组]a040_★压缩软件>f007★ -> [子应用程序]c:\users\*\appdata\local\temp\*\*.exe

2011/9/24 13:57:40    创建新进程    允许
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
命令行: C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe
规则: [应用程序]??\?* -> [子应用程序]a085 -> [应用程序]c:\users\*\appdata\local\temp\*

2011/9/24 13:57:51    创建新进程    允许
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序]* -> [子应用程序]*.exe

2011/9/24 13:57:56    创建新进程    允许
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe" /t REG_SZ /d "C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\s
规则: [应用程序]* -> [子应用程序]*.exe

2011/9/24 13:57:56    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG  ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011/9/24 13:57:56    修改注册表值    阻止
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions
值: 0x00000000(0)
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess*

2011/9/24 13:58:00    创建新进程    允许
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序]* -> [子应用程序]*.exe

2011/9/24 13:58:00    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG  ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe" /t REG_SZ /d "C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.e
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011/9/24 13:58:00    修改注册表值    阻止
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe
值: C:\Users\pydn\AppData\Local\Temp\Rar$EX00.891\setup.exe:*:Enabled:Windows Messanger
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess*

2011/9/24 13:58:02    创建新进程    允许
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Users\pydn\AppData\Local\Temp\1" /t REG_SZ /d "C:\Users\pydn\AppData\Local\Temp\1:*:Enabled:Windows Messanger" /f
规则: [应用程序]* -> [子应用程序]*.exe

2011/9/24 13:58:02    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG  ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011/9/24 13:58:02    修改注册表值    阻止
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions
值: 0x00000000(0)
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess*

2011/9/24 13:58:10    安装全局消息钩子    阻止
进程: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
目标: c:\users\pydn\appdata\local\temp\rar$ex00.891\setup.exe
钩子类型: WH_KEYBOARD_LL规则: [应用程序组]a085 -> [应用程序]c:\users\*\appdata\local\temp\* -> [钩子模块]c:\users\*\appdata\local\temp\*

2011/9/24 13:58:10    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG  ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Users\pydn\AppData\Local\Temp\1" /t REG_SZ /d "C:\Users\pydn\AppData\Local\Temp\1:*:Enabled:Windows Messanger" /f
规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

2011/9/24 13:58:10    修改注册表值    阻止
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\pydn\AppData\Local\Temp\1
值: C:\Users\pydn\AppData\Local\Temp\1:*:Enabled:Windows Messanger
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess*

回复

举报

左手
发表于 2011-9-24 18:39:41 | 显示全部楼层
本帖最后由 左手 于 2011-9-24 18:59 编辑

2011-09-24 18:35:45    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: c:\documents and settings\administrator\桌面\setup.exe
命令行: "C:\Documents and Settings\Administrator\桌面\setup.exe"
规则: [应用程序组]【Filter】Block Read -> [应用程序]* -> [子应用程序]*\桌面\*

2011-09-24 18:35:55    修改文件    允许
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: C:\Documents and Settings\Administrator\桌面\setup.exe
规则: [应用程序]* -> [文件组][Anti.Trojan]Self-Exe

2011-09-24 18:36:06    创建新进程    阻止
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序组]Untrusted Process

2011-09-24 18:36:06    创建新进程    阻止
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序组]Untrusted Process

2011-09-24 18:36:06    访问网络    阻止
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: TCP [本机 : 1834] ->  [0.0.0.0 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-09-24 18:36:06    安装全局消息钩子    阻止
进程: c:\documents and settings\administrator\桌面\setup.exe
目标: c:\documents and settings\administrator\桌面\setup.exe
钩子类型: WH_KEYBOARD_LL
规则: [应用程序组]②Risk Warning -> [应用程序]* -> [钩子模块]?:\documents and settings\*

---

2011-09-24 18:57:04    创建新进程    允许
进程: c:\program files\winrar\winrar.exe
目标: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX71.840\setup.exe"
规则: [应用程序组][4]All Applications Local_本地组 -> [应用程序]c:\program files\winrar\winrar.exe -> [子应用程序]*\temp\rar$ex*\*.exe

2011-09-24 18:57:04    创建新进程    允许
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX71.840\setup.exe
规则: [应用程序]*\temp\* -> [子应用程序].\*.exe

2011-09-24 18:57:24    创建文件    允许
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1
规则: [应用程序]*\temp\* -> [文件]*\local settings\temp\*

2011-09-24 18:57:26    设置文件隐藏属性    阻止
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1
规则: [应用程序]*\temp\* -> [文件]*\local settings\temp\*

2011-09-24 18:57:26    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序组]Untrusted Process

2011-09-24 18:57:26    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
规则: [应用程序组]Untrusted Process

2011-09-24 18:57:26    访问网络    阻止
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: TCP [本机 : 1939] ->  [0.0.0.0 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-09-24 18:57:37    安装全局消息钩子    阻止并结束进程
进程: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
目标: c:\documents and settings\administrator\local settings\temp\rar$ex71.840\setup.exe
钩子类型: WH_KEYBOARD_LL
规则: [应用程序]*\temp\* -> [钩子模块]?:\*\local*\temp\*

回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-8-22 02:17 , Processed in 0.158125 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表