本帖最后由 wjcharles 于 2011-10-25 17:30 编辑
见样本区此贴http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid21698713
原样本是感染后的样本,mse可以修复,nis还没入库,无法修复
看来感染型病毒或许就是多步主防的克星之一
测试结果见下(都是sonar自己的日志):
双击后经过长时间(约3分钟)、激烈(cpu占用一度超40%)的对抗,sonar把原样本回滚了
完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/10/25 ( 15:50:22 )
上次使用时间 2011/10/25 ( 15:50:22 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
源文件:
winrar.exe
创建的文件:
ntpclock.exe
____________________________
文件操作
受感染文件: c:\users\sshss\downloads\ntpclock\ntpclock.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->1609, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->1406, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->2103, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1->1406:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->2103:3, 注册表配置单元: 64 位
已修复
____________________________
网络操作
事件: 网络活动 (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\users\sshss\desktop\process_explorer.vir (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\Users\ssHss\Desktop\process_explorer.exe (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\$recycle.bin\s-1-5-21-132046228-1071471334-2442218452-1000\$r6tko82.vir (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\$Recycle.Bin\s-1-5-21-132046228-1071471334-2442218452-1000\$R6TKO82.exe (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\amd\amd_catalyst_11.10_preview2_win7_vista\bin\atisetup.vir (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
事件: PE 文件创建: c:\AMD\amd_catalyst_11.10_preview2_win7_vista\Bin\ATISetup.exe (Performed by c:\users\sshss\downloads\ntpclock\ntpclock.exe, PID:1356)
未采取操作
____________________________
文件指纹 - SHA:
f1fe6265a5ecfc56b6fe2a73b5144ffa8e738d064280ea73123dd923ed0dff99
____________________________
文件指纹 - MD5:
a34b60249c9b1c38b073aacf3c5ebdf5
____________________________
但看记录怀疑process_explorer.exe被感染,且文件分析显示process_explorer.exe变成了新文件,肯定有问题,于是再次双击
完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/10/25 ( 16:05:39 )
上次使用时间 2011/10/25 ( 16:05:39 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
源文件:
winrar.exe
创建的文件:
ntpclock.exe
创建的文件:
process_explorer.exe
____________________________
文件操作
文件: c:\users\sshss\desktop\process_explorer.exe
已删除
文件: c:\users\sshss\desktop\process_explorer64.exe
已删除
事件: 正在运行进程: c:\users\sshss\desktop\process_explorer64.exe
已终止
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->1609, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->1406, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0->2103, 注册表配置单元: 64 位
已删除
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1->1406:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->1609:1, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->1406:3, 注册表配置单元: 64 位
已修复
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4->2103:3, 注册表配置单元: 64 位
已修复
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:8308)
未采取操作
事件: PE 文件创建: c:\users\sshss\desktop\process_explorer64.exe (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:8308)
未采取操作
事件: PE 文件创建: c:\amd\amd_catalyst_rage_performance_driver\packages\apps\vc10rtx64\vcredist_x64\setup.vir (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:1124)
未采取操作
事件: PE 文件创建: c:\AMD\amd_catalyst_rage_performance_driver\Packages\Apps\vc10rtx64\vcredist_x64\Setup.exe (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:1124)
未采取操作
事件: PE 文件创建: c:\amd\amd_catalyst_rage_performance_driver\packages\apps\vc10rtx86\vcredist_x86\setup.vir (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:1124)
未采取操作
事件: PE 文件创建: c:\AMD\amd_catalyst_rage_performance_driver\Packages\Apps\vc10rtx86\vcredist_x86\Setup.exe (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:1124)
未采取操作
事件: PE 文件创建: c:\amd\amd_catalyst_rage_performance_driver\setup.vir (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:1124)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (Performed by c:\users\sshss\desktop\process_explorer.exe, PID:8308)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
果然已被感染。虽然soanr再次回滚查杀,但这次process_explorer.exe又感染了AMD文件夹下的几个exe。接下来只能看nis的入库了,能否清除修复被感染的样本 |
发表于 2011-10-25 16:39:06
楼主
