一个后门木马样本，过卡巴斯基等杀毒巨头。

sanhu35

未入组，陌生程序权限。

jpg图标的EXE文件  一看就不是好东西，日常使用直接阻止之。



2011-9-25 20:08:02    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
命令行: "C:\Documents and Settings\Administrator\桌面\41线交易地点\41线交易地点.exe"
规则: [应用程序]c:\windows\explorer.exe

2011-9-25 20:08:04    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\system32\systemwin.log
规则: [文件组]只读磁盘 -> [文件]c:\*

2011-9-25 20:08:04    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\MSN
规则: [文件组]只读磁盘 -> [文件]c:\*

2011-9-25 20:08:05    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\system32\fhmETL.pic
规则: [文件组]只读磁盘 -> [文件]c:\*

2011-9-25 20:08:05    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\vbcfg.ini
规则: [文件组]只读磁盘 -> [文件]c:\*

2011-9-25 20:08:06    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\Wopti
规则: [文件组]只读磁盘 -> [文件]c:\*

2011-9-25 20:08:06    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\0w4JHWgP
规则: [文件组]只读磁盘 -> [文件]c:\*
==========================
入测试组

2011-9-25 20:10:11    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
命令行: "C:\Documents and Settings\Administrator\桌面\41线交易地点\41线交易地点.exe"
规则: [应用程序]c:\windows\explorer.exe

2011-9-25 20:10:20    访问COM接口    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: {1E66F26B-79EE-11D2-8710-00C04F79ED0D} CorRegistration.CorFltr.1
文件路径: mscoree.dll
规则: [应用程序组]『询问』病毒测试

2011-9-25 20:11:16    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\system32\systemwin.log
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:11:19    创建文件夹    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\MSN
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:11:29    删除注册表值    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Beep\BEEP
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-9-25 20:11:36    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\system32\fhmETL.pic
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:11:38    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\WINDOWS\vbcfg.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:11:52    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Mypath
值: C:\Documents and Settings\Administrator\桌面\41线交易地点\41线交易地点.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-9-25 20:11:56    创建文件夹    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\Wopti
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:12:02    创建文件夹    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\vB9FAAGz\update
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:12:50    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\\CurrentControlSet\\Services\\NetBIOS
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-9-25 20:12:53    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBIOS\QPath
值: C:\Program Files\vB9FAAGz\updspapi.dll
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-9-25 20:12:56    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\vB9FAAGz\niudll.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-9-25 20:13:00    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Program Files\vB9FAAGz\updspapi.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-9-25 20:13:06    创建文件    允许
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: C:\Documents and Settings\Administrator\桌面\清理垃圾.lnk
规则: [应用程序组]『询问』病毒测试 -> [文件组]允许常用目录


联网后下载木马，最后控制系统进程，监视网银操作，获取账号密码

2011-9-25 20:13:23    向其他进程发送消息    阻止
进程: c:\documents and settings\administrator\桌面\41线交易地点\41线交易地点.exe
目标: c:\windows\explorer.exe
消息: 0x1004
规则: [应用程序组]『询问』病毒测试

wqcaokeyinwq

实机测试。。。。。。。。。。。。
金山卫士秒杀。。。。。。。。。。
过微点扫描。。。。。。。。。。。。
过红伞扫描。。。。。。。。。。。。。
双击测试。。。。。。。。。。。
主防秒杀。。。。。。。。。。。。。。。。。。。。。。

wqcaokeyinwq

schumi小粉 发表于 2011-9-25 18:33
点点提示联网，to avast and MP

看我的截图。。。。
明明没有过微点。。。
。。。。。。。。

saga3721

我这儿没一个主防——包括微点在内有反应的。不知道是因为我没装网游呢，还是因为补丁打全了

xiongchuanxc

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/9/25 ( 21:59:41 )
上次使用时间 2011/9/25 ( 21:59:41 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
360zip.exe

创建的文件:
41线交易地点.exe
____________________________
文件操作
受感染文件: c:\users\simple fish\desktop\41线交易地点\41线交易地点.exe
已删除
____________________________
网络操作
事件: 网络活动 (Performed by c:\users\simple fish\desktop\41线交易地点\41线交易地点.exe, PID:6488)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\\desktop\41线交易地点\41线交易地点.exe, PID:6488)
未采取操作
事件: PE 文件创建: c:\360sandbox\shadow\users\\appdata\local\temp\42841977.bmp (Performed by c:\users\\desktop\41线交易地点\41线交易地点.exe, PID:6488)
未采取操作
事件: PE 文件创建: c:\360sandbox\SHADOW\Windows\System32\fhmETL.pic (Performed by c:\users\h\desktop\41线交易地点\41线交易地点.exe, PID:6488)
未采取操作
____________________________
文件指纹 - SHA:
1d692ab1048fc3bdbb0a6740c186f2f51ea55f15cb0e26660b83a28537c65a37
____________________________
文件指纹 - MD5:
fe9098b378bce65b18d2226d8c3b1347
____________________________

北风之神

过eset

308866814

卡巴斯基更新太慢了，我表示压力很大。

sinbad2

微点2.0和红伞扫描没发现,双击运行卡了很久,样本消失了,微点这时候才弹出来说发现木马,已经删除,点确定微点的框消失.

sinbad2

对微点,那是相当地有信心!

blue_仰望

未入任何组，自动阻止了。

1. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\Gn8SiXUS        阻止        [注册表组]◆注册表保护（阻止） -> [注册表]*\Microsoft\Windows NT\CurrentVersion\SvcHost*        值: Gn8SiXUS
   
2. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        安装驱动程序或服务        Microsoft .Net Framework COM+ SupportUpsxOiuy        阻止        [应用程序]*        文件路径: %SystemRoot%\System32\svchost.exe -k Gn8SiXUS
   
3. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gn8SiXUS        阻止        [注册表组]◆注册表保护（阻止） -> [注册表]*\*ControlSet*\Services\*       
   
4. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Gn8SiXUS        阻止        [注册表组]◆注册表保护（阻止） -> [注册表]*\*ControlSet*\Services\*       
   
5. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gn8SiXUS\Parameters        阻止        [注册表组]◆注册表保护（阻止） -> [注册表]*\*ControlSet*\Services\*       
   
6. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Gn8SiXUS        阻止        [注册表组]◆注册表保护（阻止） -> [注册表]*\*ControlSet*\Services\*       
   
7. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建文件        C:\Users\blue\AppData\Local\Temp\11576085.lz        阻止        [文件组]●临时缓存目录（只读） -> [文件]*\temp\*       
   
8. 2011/9/25 22:27:31        c:\users\blue\desktop\41线交易地点\41线交易地点.exe        创建文件        C:\Users\blue\AppData\Local\Temp\11576085.bmp        阻止        [文件组]●临时缓存目录（只读） -> [文件]*\temp\*       
   

复制代码