收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 wingggoSetup.exe
12
返回列表 发新帖
楼主: 绅博周幸
 收起左侧

[病毒样本] wingggoSetup.exe

[复制链接]
留侯
发表于 2011-10-18 09:30:49 | 显示全部楼层
大蜘蛛clean,文件加了壳:
wingggoSetup.exe packed by PECOMPACT
已上报求真相。
回复

举报

xyc5238207
发表于 2011-10-18 10:24:02 | 显示全部楼层
请问一下,我是拨号上网的,安装了gdata以后,每次开机读无法拨号,电机拨号的没有任何反应,拨号窗口不出来,电脑变得很卡了。吧gdata的实时监控关了就可以拨号了,请问这是为什么呢?
回复

举报

hddu
发表于 2011-10-18 10:57:41 | 显示全部楼层
2011-10-18 10:52:41    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2011-10-18 10:52:44    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggo.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll


2011-10-18 10:52:44    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggo.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll


2011-10-18 10:52:49    创建文件      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\Program Files\winggo\winggoSetup.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\IEXPLORE.EXE->%systemdrive%\*.exe


2011-10-18 10:52:52    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggou.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2011-10-18 10:52:54    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggou.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2011-10-18 10:52:56    创建注册表值      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:WingGo
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-10-18 10:53:00    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggom.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2011-10-18 10:53:01    创建文件      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggom.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2011-10-18 10:53:01    运行应用程序      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggom.exe
触发规则:应用程序规则->程序->?:\*


2011-10-18 10:53:02    运行应用程序      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\Program Files\winggo\winggom.exe
触发规则:应用程序规则->程序->?:\*


2011-10-18 10:53:03    创建注册表值      操作:使用任务隔离区操作
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
注册表路径:HKEY_CURRENT_USER\Software
注册表名称:WC
触发规则:所有程序规则->其他设置项->HKEY_CURRENT_USER\SOFTWARE


2011-10-18 10:53:03    创建注册表值      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
注册表路径:HKEY_CURRENT_USER\Environment
注册表名称:OSVersion
触发规则:所有程序规则->系统设置->HKEY_CURRENT_USER\Environment


2011-10-18 10:53:10    运行应用程序      操作:允许
进程路径:F:\virus\wingggoSetup\wingggoSetup.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winggo.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-10-18 10:53:12    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\wingggoSetup\wingggoSetup.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


回复

举报

qianyuqx
头像被屏蔽
发表于 2011-10-18 13:01:57 | 显示全部楼层
to rising
回复

举报

secowl
发表于 2011-10-18 15:53:46 | 显示全部楼层
File signature: PECompact 2.x -> Jeremy Collake [Overlay]
[ Changes to filesystem ]
   * Creates file C:\Users\Test\AppData\AppData\Local\Temp\smlist.dat
   * Creates file C:\Users\Test\AppData\AppData\Roaming\winggo\sm00101.dat
   * Creates file C:\Users\Test\AppData\AppData\Roaming\winggo\smlist.dat
   * Creates file C:\Users\Test\AppData\AppData\Roaming\winggo\winggo23.tmp

[ Changes to registry ]
   * Creates Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NetworkProvider\HwOrder
   * Creates Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
   * Creates Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
   * Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{e3f99b74-3fba-11e0-ba8f-806e6f6e6963}
          old value empty
   * Creates value "DefaultSearchIdx=06000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "ShoppingSearch=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "RSS=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "BoldKeyword=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "Translate=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "FreeMusic=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "ExtendSearch2=01000000" in key HKEY_CURRENT_USER\software\winggo
   * Creates value "sm00101.dat=20110603" in key HKEY_CURRENT_USER\software\winggo
   * Deletes Registry key HKEY_CURRENT_USER\software\classes\*\shell\sandbox

[ Network services ]
   * Backdoor functionality on port 0.
   * Connects to "14.63.217.88" on port 80.
回复

举报

secowl
发表于 2011-10-18 15:56:37 | 显示全部楼层
14.63.217.88

http://support.clean-mx.de/clean ... p;sort=first%20desc
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-8-21 23:25 , Processed in 0.111400 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表