INC.exe

jayavira

http://camas.comodo.com/cgi-bin/ ... f54f5642a7c222ec315

C.C.

360下载保镖KILL

小墙头

dalianjhc1986

eset云报可疑  一周前发现该文件
上报

secowl

File signature: UPX -> www.upx.sourceforge.net [Overlay]
Created process: (null),C:\Windows\system32\instsrv OracleInstManager C:\Windows\system32\srvany.exe,C:\Windows\System32
Created process: (null),C:\Windows\system32\reg.exe add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager /v Type /t REG_DWORD /d 272 /f,C:\Windows\System32
Created process: (null),C:\Windows\system32\reg.exe add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager\Parameters /v Application /t REG_SZ /d C:\windows\system32\MSInstallMgr.exe /f,C:\Windows\System32
Created process: (null),sc config OracleInstManager type= auto,C:\Windows\System32
Created process: (null),sc delete OracleInstManager,C:\Windows\System32
Created process: (null),sc start OracleInstManager,C:\Windows\System32
Created process: (null),sc stop OracleInstManager,C:\Windows\System32
Defined file type copied to Windows folder: C:\windows\system32\instsrv.exe
Defined file type copied to Windows folder: C:\windows\system32\MSInstallMgr.exe
Defined file type copied to Windows folder: C:\windows\system32\srvany.exe
Defined registry AutoStart location added or modified: machine\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 = created registry key
Defined registry AutoStart location added or modified: machine\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 = created registry key

zckey

微点miss，已上报

hddu

2011-10-18 16:05:40    创建文件      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\srvany.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:40    修改文件      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\srvany.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:40    创建文件      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\instsrv.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:40    修改文件      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\instsrv.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:41    运行应用程序      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop OracleInstManager
触发规则:所有程序规则->系统程序设置->%windir%\system32\sc.exe


2011-10-18 16:05:41    运行应用程序      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:delete OracleInstManager
触发规则:应用程序规则->程序->?:\*


2011-10-18 16:05:41    创建文件      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\MSInstallMgr.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:41    修改文件      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\system32\MSInstallMgr.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-18 16:05:41    运行应用程序      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\instsrv.exe
命令行:OracleInstManager C:\Windows\system32\srvany.exe
触发规则:应用程序规则->程序->?:\*


2011-10-18 16:05:42    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\instsrv.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-10-18 16:05:42    运行应用程序      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager\Parameters /v Application /t REG_SZ /d C:\windows\system32\MSInstallMgr.exe /f
触发规则:所有程序规则->系统程序设置->*\reg.exe


2011-10-18 16:05:42    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager\Parameters
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2011-10-18 16:05:42    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\OracleInstManager\Parameters
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2011-10-18 16:05:42    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\OracleInstManager\Parameters
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2011-10-18 16:05:42    运行应用程序      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OracleInstManager /v Type /t REG_DWORD /d 272 /f
触发规则:所有程序规则->系统程序设置->*\reg.exe


2011-10-18 16:05:43    运行应用程序      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config OracleInstManager type= auto
触发规则:应用程序规则->程序->?:\*


2011-10-18 16:05:43    运行应用程序      操作:阻止
进程路径:F:\virus\INC\INC.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:start OracleInstManager
触发规则:所有程序规则->系统程序设置->%windir%\system32\sc.exe

liulangzhecgr

cqoper

hddu 发表于 2011-10-18 16:11
2011-10-18 16:05:40    创建文件      操作:允许
进程路径:F:\virus\INC\INC.exe
文件路径:C:\windows\s ...

请问这个是用的什么探测出来的规则用的什么软件。求方法

ADSLgg

红伞kill，，TR