fake AV，hxxp://ejrklssfcc.com/main.php?page=c6c485d9ee813d21

显示全部楼层 · 发表于 2011-11-10 08:39:11

2011-11-10 08:19:46 C:\Documents and Settings\Roger\Local Settings\Temp\0.014958579875314792exe Sandboxed As Partially Limited

2011-11-10 08:20:07 C:\Documents and Settings\Roger\Local Settings\Temp\0.4604817606281547exe Sandboxed As Partially Limited

2011-11-10 08:20:08 C:\Documents and Settings\Roger\Application Data\sKK77fRL9gTqjCk\AV Security 2012v121.exe Sandboxed As Partially Limited

2011-11-10 08:20:13 C:\Documents and Settings\Roger\Local Settings\Temp\0.014958579875314792exe Modify File C:\WINDOWS\system32\AV Security 2012v121.exe

2011-11-10 08:20:13 C:\Documents and Settings\Roger\Local Settings\Temp\0.014958579875314792exe Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZggRZZ9hY8234A

2011-11-10 08:20:22 C:\Documents and Settings\Roger\Local Settings\Temp\0.4604817606281547exe Modify Key HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

2011-11-10 08:20:31 C:\Documents and Settings\Roger\Application Data\sKK77fRL9gTqjCk\AV Security 2012v121.exe Access COM Interface {8BC3F05E-D86B-11D0-A075-00C04FB68820}

2011-11-10 08:20:33 C:\Documents and Settings\Roger\Application Data\sKK77fRL9gTqjCk\AV Security 2012v121.exe Modify File C:\WINDOWS\system32\drivers\etc\hosts

2011-11-10 08:20:43 C:\Documents and Settings\Roger\Application Data\sKK77fRL9gTqjCk\AV Security 2012v121.exe Access Memory C:\WINDOWS\system32\ctfmon.exe

2011-11-10 08:20:52 C:\Documents and Settings\Roger\Application Data\sKK77fRL9gTqjCk\AV Security 2012v121.exe Scanned Online and Found Malicious

2011-11-10 08:20:57 C:\DOCUME~1\Roger\LOCALS~1\Temp\~!#1DB.tmp Sandboxed As Partially Limited

2011-11-10 08:27:01 C:\WINDOWS\system32\ping.exe Sandboxed As Partially Limited

雲查殺

下載地址：
http://www.vdisk.cn/down/index/9102516A2737

显示全部楼层 · 发表于 2011-11-10 08:40:33

本帖最后由 jayavira 于 2011-11-10 08:45 编辑

hitman kill3x

显示全部楼层 · 发表于 2011-11-10 08:41:35

360下载保镖KILL ......

显示全部楼层 · 发表于 2011-11-10 09:07:08

卡巴清空 4X~~

显示全部楼层 · 发表于 2011-11-10 09:28:25

红伞miss，to

显示全部楼层 · 发表于 2011-11-10 11:45:24

BitDefender
AV Security 2012v121.exe Gen:Variant.Kazy.43326
~!#1DB.tmp Gen:Variant.Graftor.3552
jar_cache7968566547016394006.tmp Gen:Variant.Kazy.43346
jar_cache2038174559845496534.tmp Gen:Variant.Kazy.43326

显示全部楼层 · 发表于 2011-11-10 11:53:58

4个 to eset

显示全部楼层 · 发表于 2011-11-10 14:24:42

大蜘蛛发现2个：
AV Security 2012v121\AV Security 2012v121.exe - infected with Trojan.DownLoader5.12800
AV Security 2012v121\~!#1DB.tmp - infected with BackDoor.Tdss.6424

temp文件再次被无视，其中一个加了壳：
AV Security 2012v121\jar_cache2038174559845496534.tmp - packed by FLY-CODE
AV Security 2012v121\jar_cache2038174559845496534.tmp - packed by FLY-CODE
已上报。

显示全部楼层 · 发表于 2011-11-10 14:31:01

2011-11-10 14:28:57 创建新进程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: d:\home\cwb\desktop\0.8094120088618736.exe
命令行: 0.8094120088618736.exe
规则: [应用程序]?:\*\*.exe -> [子应用程序]?:\*\*.exe

2011-11-10 14:28:57 创建新进程阻止并结束进程
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32 -s "0.8094120088618736.exe"
规则: [应用程序]?:\*\*.exe -> [子应用程序]c:\windows\system32\regsvr32.exe

2011-11-10 14:29:10 创建文件夹阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\Application Data\JQJ6dEK8fZhXjVl
规则: [应用程序]?:\*\*.exe -> [文件]d:\home\cwb\application data

2011-11-10 14:29:10 创建文件阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: C:\WINDOWS\system32\AV Security 2012v121.exe
规则: [应用程序]?:\*\*.exe -> [文件组]系统执行文件

2011-11-10 14:29:10 修改注册表值阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\x2obF4pmGsJ8234A
值: C:\WINDOWS\system32\AV Security 2012v121.exe
规则: [应用程序]?:\*\*.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-11-10 14:29:16 创建文件夹允许
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\Application Data\zdEK8gRZqYwUrOt
规则: [应用程序]?:\*\*.exe -> [文件]d:\home\cwb\application data

2011-11-10 14:29:17 创建文件阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\Application Data\zdEK8gRZqYwUrOt\AV Security 2012v121.exe
规则: [应用程序]?:\*\*.exe -> [文件]d:\home\cwb\application data\*; *.exe

2011-11-10 14:29:17 修改注册表值阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\FdEK8fRZ9YwUeOt8234A
值: D:\home\cwb\Application Data\zdEK8gRZqYwUrOt\AV Security 2012v121.exe
规则: [应用程序]?:\*\*.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-11-10 14:29:17 创建文件阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\Application Data\ldr.ini
规则: [应用程序]?:\*\*.exe -> [文件组]仅阻止创建的文件

2011-11-10 14:29:17 创建文件阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\Application Data\ldr.ini
规则: [应用程序]?:\*\*.exe -> [文件组]仅阻止创建的文件

2011-11-10 14:29:17 创建文件夹阻止
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: D:\home\cwb\「开始」菜单\程序\AV Security 2012
规则: [应用程序]* -> [文件]*

2011-11-10 14:29:17 修改文件阻止并结束进程
进程: d:\home\cwb\desktop\0.8094120088618736.exe
目标: C:\WINDOWS\system32\drivers\etc\hosts
规则: [应用程序]?:\*\*.exe -> [文件组]禁止修改的文件

小插曲：IE8报告了“已报告的攻击站点”，但是，在它报告之前，桌面就已经出现了那个exe文件，所以，在这种挂马网站面前，IE8的默认设置保不了用户安全。

显示全部楼层 · 发表于 2011-11-10 16:39:03

本帖最后由 liulangzhecgr 于 2011-11-10 16:43 编辑

2011-11-10 15:06:56 底层磁盘写操作允许
进程: c:\documents and settings\administrator\local settings\temp\rstrui.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

rootkit.boot.sst.a

[病毒样本] fake AV，hxxp://ejrklssfcc.com/main.php?page=c6c485d9ee813d21

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块