TDSS 型 fake AV

ADSLgg

红伞miss，to

hx1997

2011-11-1 20:32:17    Create file    Permitted
Process: c:\documents and settings\administrator\桌面\contacts.exe
Target: C:\Documents and Settings\All Users\Application Data\privacy.exe
Rule: [App]* -> [File Group]AppData目录(可执行程序)

2011-11-1 20:32:17    Write physical disk    Denied and killed the process
Process: c:\documents and settings\all users\application data\privacy.exe
Target: \Device\Ide\IdePort0
Rule: [App Group]秒杀过滤模式

2011-11-1 20:32:21    Access network    Permitted
Process: c:\documents and settings\administrator\桌面\contacts.exe
Target: TCP [Local host : 1278] ->  [64.202.163.8 : 80 (http)]
Rule: [App]* -> [Network Group]联网请求

2011-11-1 20:32:44    Access network    Permitted
Process: c:\documents and settings\administrator\桌面\contacts.exe
Target: TCP [Local host : 1279] ->  [195.234.65.128 : 80 (http)]
Rule: [App]* -> [Network Group]联网请求

2011-11-1 20:32:49    Write file    Permitted
Process: c:\documents and settings\administrator\桌面\contacts.exe
Target: C:\Documents and Settings\Administrator\桌面\contacts.exe
Rule: [App]* -> [File Group]自身目录(可执行程序及常见文档)

2011-11-1 20:32:53    Set registry value    Denied
Process: c:\documents and settings\administrator\桌面\contacts.exe
Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
Data: \??\C:\Program Files\Baidu\BaiduPinyin\1.3.1.3\bdaucommon.dll.old  \??\C:\Program Files\Baidu\BaiduPinyin\1.3.1.3\bdupdate.exe.old  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CB.tmp
Rule: [App]* -> [Registry Group]系统环境变量

hx1997

2011-11-5 14:53:41        C:\Documents and Settings\All Users\Application Data\privacy.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\Privacy Protection        已阻止        040.自启动项       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        获取文件访问权        C:\WINDOWS\system32\shell32.dll        阻止一些访问        076.系统dll_无提示        写入到文件

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        获取文件访问权        C:\WINDOWS\system32\shell32.dll        阻止一些访问        076.系统dll_无提示        写入到文件

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        获取文件访问权        C:\WINDOWS\system32\shell32.dll        阻止一些访问        076.系统dll_无提示        写入到文件

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        获取文件访问权        C:\WINDOWS\system32\shell32.dll        阻止一些访问        076.系统dll_无提示        写入到文件

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f77fdb60-b06a-11e0-983c-806d6172696f}\BaseClass        已阻止        040.MountPoints2       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f77fdb62-b06a-11e0-983c-806d6172696f}\BaseClass        已阻止        040.MountPoints2       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        直接访问磁盘        \\.\Harddisk0\DR0        已阻止        018.直接访问磁盘       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        直接访问磁盘        \\.\Harddisk0\DR0        已阻止        018.直接访问磁盘       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        直接访问磁盘        \\.\Harddisk0\DR0        已阻止        018.直接访问磁盘       

2011-11-5 14:53:32        C:\Documents and Settings\All Users\Application Data\privacy.exe        直接访问磁盘        \\.\Harddisk0\DR0        已阻止        018.直接访问磁盘       

2011-11-5 14:53:31        C:\Documents and Settings\Administrator\桌面\contacts.exe        启动新应用程序        C:\Documents and Settings\All Users\Application Data\privacy.exe        已允许        020.C:\Documents and Settings\*\Application Data\*.exe(D)       

2011-11-5 14:53:28        C:\Documents and Settings\Administrator\桌面\contacts.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu        已阻止        038.Common Startup       

2011-11-5 14:53:28        C:\Documents and Settings\Administrator\桌面\contacts.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu        已阻止        038.Common Startup       

2011-11-5 14:53:28        C:\Documents and Settings\Administrator\桌面\contacts.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f77fdb60-b06a-11e0-983c-806d6172696f}\BaseClass        已阻止        040.MountPoints2       

2011-11-5 14:53:28        C:\Documents and Settings\Administrator\桌面\contacts.exe        修改注册表        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f77fdb62-b06a-11e0-983c-806d6172696f}\BaseClass        已阻止        040.MountPoints2       

2011-11-5 14:53:28        C:\WINDOWS\system32\spoolsv.exe        修改注册表        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\Order        已阻止        032.防TDSS       

schumi小粉

to mp

wjcharles

完整路径: c:\users\sshss\downloads\contacts\contacts.exe
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2011/11/6 ( 0:47:35 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全
____________________________
http://bbs.kafan.cn/forum.php?mo ... DQ4OTAzN3wxMTIxMjgz 已下载文件contacts.exe
威胁名称:
WS.Reputation.1自
bbs.kafan.cn
____________________________
文件操作
文件: c:\users\sshss\downloads\contacts\contacts.exe
已删除
____________________________
文件指纹 - SHA:
524bd7cc863310706c5e2e6fe86a55e329d9736414e5b8d740af90c3814a223d
____________________________
文件指纹 - MD5:
28780a1ed10893f9a22d31df6ebb4cd6
____________________________




完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/11/6 ( 0:48:10 )
上次使用时间 2011/11/6 ( 0:48:10 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

____________________________
文件操作
受感染文件: c:\users\sshss\downloads\privacy\privacy.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\downloads\privacy\privacy.exe, PID:10244)
未采取操作
____________________________
文件指纹 - SHA:
fefae9387e93ce1f126eb964842d910ead88e7a54d0923ac0bad2dbb08d7b26d
____________________________
文件指纹 - MD5:
51bcfb9674ec04e0c7b4c4de1f1cf944
____________________________

留侯

大蜘蛛：
contacts.exe infected with Trojan.MulDrop2.54093
privacy.exe infected with Trojan.KillProc.13031

网之龙

AVAST!6.0实时监控防护拦截contacts.exe，对privacy.exe无视，上报后一个。

kavfans99

论坛附件是不是有问题？一直无法下载，下到15KB就中断了...