0access

a256886572008

2011-11-11 19:32:25   C:\Documents and Settings\Roger\桌面\virus\axma\axma.exe   Sandboxed As   Partially Limited   

2011-11-11 19:32:30   C:\Documents and Settings\Roger\Local Settings\Application Data\af566efc\X   Sandboxed As   Partially Limited   

2011-11-11 19:32:30   C:\WINDOWS\explorer.exe   Sandboxed As   Partially Limited   

2011-11-11 19:32:35   C:\WINDOWS\system32\cmd.exe   Sandboxed As   Partially Limited   

2011-11-11 19:32:49   C:\Documents and Settings\Roger\桌面\virus\axma\axma.exe   Access COM Interface   LocalSecurityAuthority.Tcb   

2011-11-11 19:32:49   C:\Documents and Settings\Roger\Local Settings\Application Data\af566efc\X   Access Memory   C:\WINDOWS\explorer.exe  

2011-11-11 19:32:49   C:\WINDOWS\system32\cmd.exe   Modify File   C:\Documents and Settings\Roger\桌面\virus\axma\axma.exe   

訪問網路



雲查殺

http://cima.security.comodo.com/report/e95e8cc12e43cbc089f57addf7198cc013999f05.htm

‧ Verdict
Auto Analysis Verdict
Suspicious++

‧ Description
Suspicious Actions Detected
Deletes self
Hides files from user
Injects code into other processes

Kevin_Memo

AVG Miss
360 Kill All
Panda Cloud Kill All

ADSLgg

红伞kill

DPT1

金山下载保护安全

dalianjhc1986

to
eset

qzmxy2006

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/11/11 ( 22:06:55 )
上次使用时间 2011/11/11 ( 22:06:55 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
axma.exe

创建的文件:
x
____________________________
文件操作
受感染文件: c:\sandbox\若月\defaultbox\user\current\appdata\local\de9d6dcc\x
已删除
受感染文件: c:\users\若月\downloads\axma\axma\axma.exe
已删除
受感染文件: c:\users\若月\downloads\axma\axma\axma.exe
不需要操作
____________________________
网络操作
事件: 网络活动 (Performed by c:\users\若月\downloads\axma\axma\axma.exe, PID:14560)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\sandbox\若月\defaultbox\user\current\appdata\local\de9d6dcc\x, PID:18104)
未采取操作
事件: 进程启动 (Performed by c:\users\若月\downloads\axma\axma\axma.exe, PID:14560)
未采取操作
事件: PE 文件创建: c:\sandbox\若月\defaultbox\user\current\appdata\local\de9d6dcc\x (Performed by c:\users\若月\downloads\axma\axma\axma.exe, PID:14560)
未采取操作
____________________________
文件指纹 - SHA:
83ca58a01c32deee485132139b5d27cc59fb66164862a8b1c366892dec5f8e42
____________________________
文件指纹 - MD5:
3df2ac66e8bb799e4700896d7b913409
____________________________




类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,类别,默认操作,采取的操作
2011/11/11 22:06:34,信息,“入侵防护签名自动阻止”已阻止 IP 地址 193.105.154.210 的时间为 30 分钟,已检测,不需要操作,入侵防护,不需要操作,不需要操作
“入侵防护签名自动阻止”已阻止 IP 地址 193.105.154.210 的时间为 30 分钟

zhousulin5

2011-11-11 22:53:46    创建文件夹    阻止
进程: d:\规则测试\axma\axma.exe
目标: C:\Documents and Settings\zhousl\Local Settings\Application Data\41578fa9
规则: [应用程序]* -> [文件]*

2011-11-11 22:53:57    创建新进程    允许
进程: d:\规则测试\axma\axma.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe"
规则: [应用程序]?:\*\*.exe -> [子应用程序]脚本宿主重点控制 -> [应用程序]c:\windows\system32\cmd.exe

2011-11-11 22:53:57    向其他进程复制句柄    阻止
进程: d:\规则测试\axma\axma.exe
目标: c:\windows\system32\cmd.exe
句柄: (File) D:\规则测试\axma\axma.exe
规则: [应用程序]?:\* -> [目标应用程序]*

2011-11-11 22:53:57    结束其他进程的线程    阻止并结束进程
进程: d:\规则测试\axma\axma.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]?:\* -> [目标应用程序]c:\windows\*.exe


2011-11-11 23:06:40    修改其他进程的内存    阻止并结束进程
进程: d:\规则测试\axma\x.exe
目标: c:\windows\explorer.exe
规则: [应用程序]?:\* -> [目标应用程序]c:\windows\*.exe

中邪

Kevin_Memo 发表于 2011-11-11 21:14
AVG Miss
360 Kill All
Panda Cloud Kill All

AVG2012：
"";"C:\Documents and Settings\Administrator\桌面\axma.gz:\axma.7z:\X";"特洛伊木马 BackDoor.Generic14.BQRA";"恶意文件"
"";"C:\Documents and Settings\Administrator\桌面\axma.gz:\axma.7z";"特洛伊木马 BackDoor.Generic14.BQRA";"恶意文件"
"";"C:\Documents and Settings\Administrator\桌面\axma.gz";"特洛伊木马 BackDoor.Generic14.BQRA";"恶意文件"

倾枫锝渔♂

卡巴清空~~

flycx12

GD