穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)

显示全部楼层 · 发表于 2011-10-2 00:11:28

a256886572008 发表于 2011-10-2 00:04
等級3，就能報微軟進程，真奇怪？

应该是我加了局长规则的缘故吧。

显示全部楼层 · 发表于 2011-10-2 00:37:21

小毒吧，没啥大危害

显示全部楼层 · 发表于 2011-10-3 18:33:15

金山下载即报病毒

显示全部楼层 · 发表于 2011-10-3 20:49:25

2011-10-03 20:47:37 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
注册表名称:EnableLUA
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011-10-03 20:47:37 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:37 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:37 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:39 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Web Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:39 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Mail Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:40 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "aswUpdSv
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

2011-10-03 20:47:40 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*

2011-10-03 20:47:40 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*

2011-10-03 20:47:40 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*

2011-10-03 20:47:40 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*

2011-10-03 20:47:40 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:File
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

显示全部楼层 · 发表于 2011-10-3 22:36:26

MSE干掉了....

类别: 特洛伊木马监视软件

描述: 这个程序很危险，它记录用户活动。

建议的操作: 立即删除这个软件。

Security Essentials 检测到可能会侵害您的隐私或损坏计算机的程序。您仍然可以访问这些程序所使用的文件而不删除这些程序(不推荐)。若要访问这些文件，请选择“允许”操作，并单击“应用操作”。如果此选项不可用，请以管理员身份登录或请求安全管理员提供帮助。

项目:
containerfile:D:\TDDOWNLOAD\IMG_27092011_141340_JPG[1].7z
file:D:\TDDOWNLOAD\IMG_27092011_141340_JPG[1].7z->IMG_27092011_141340_JPG[1].cpl->(PECompact2 v2.50+)
webfile:C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{51B6C847-AB1D-42C8-A631-293E58E5EB7B}-IMG_27092011_141340_JPG[1].7z|http://bbs.kafan.cn/forum.php?mo ... DU0MjgzNHwxMDk4MjQ0
webfile:D:\TDDOWNLOAD\IMG_27092011_141340_JPG[1].7z|http://bbs.kafan.cn/forum.php?mo ... DU0MjgzNHwxMDk4MjQ0

显示全部楼层 · 发表于 2011-10-4 21:15:17

文件加了壳，大蜘蛛：
IMG_27092011_141340_JPG[1].cpl packed by PECOMPACT
IMG_27092011_141340_JPG[1].cpl infected with Trojan.DownLoader4.63101

显示全部楼层 · 发表于 2011-10-8 22:25:18

本帖最后由 ghfujianbin 于 2011-10-8 22:29 编辑

10:21:13 PM 10/8/2011 Write protected registry area C:\WINDOWS\system32\conime.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon 0x2000000
10:21:13 PM 10/8/2011 Interprocess Communication C:\WINDOWS\system32\sc.exe services.exe \RPC Control\ntsvcs
10:21:13 PM 10/8/2011 Create Process C:\WINDOWS\system32\sc.exe conime.exe
10:21:13 PM 10/8/2011 Write protected registry area C:\WINDOWS\system32\sc.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon 0x2000000
10:21:13 PM 10/8/2011 Write protected registry area C:\WINDOWS\system32\ctfmon.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 0xf003f

复制代码

过PFW

显示全部楼层 · 发表于 2011-10-9 20:15:11

360云kill

免杀后360云主防拦截

显示全部楼层 · 发表于 2011-10-9 20:41:59

ghfujianbin 发表于 2011-10-8 22:25
过PFW

傳統型 HIPS，只能取消完全信任數字簽名，沒有別的方案。

显示全部楼层 · 发表于 2011-10-11 08:52:00

2011-10-11 07:38:18 C:\Documents and Settings\Roger\桌面\virus\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl Sandboxed As Partially Limited

2011-10-11 07:38:20 C:\WINDOWS\system32\conime.exe Sandboxed As Partially Limited

2011-10-11 07:38:24 C:\Documents and Settings\Roger\桌面\virus\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA

2011-10-11 07:38:24 C:\WINDOWS\system32\sc.exe Modify Key HKLM\SYSTEM\ControlSet???\Services\AVGIDSAgent

2011-10-11 07:38:24 C:\WINDOWS\system32\sc.exe Modify Key HKLM\SYSTEM\ControlSet???\Services\avg9wd

2011-10-11 07:38:24 C:\Documents and Settings\Roger\桌面\virus\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}

2011-10-11 07:38:24 C:\WINDOWS\system32\sc.exe Modify Key HKLM\SYSTEM\ControlSet???\Services\AVGWD

2011-10-11 07:38:24 C:\Documents and Settings\Roger\桌面\virus\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl Modify File C:\ProgramData\IMG_27092011_141340_JPG.cpl

2011-10-11 07:38:24 C:\Documents and Settings\Roger\桌面\virus\IMG_27092011_141340_JPG\IMG_27092011_141340_JPG.cpl Modify Key HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\File

雲查殺

[病毒样本] 穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)

本帖子中包含更多资源

本帖子中包含更多资源