盗号木马（六）

guidanba

倾枫锝渔♂ 发表于 2012-3-21 21:55
谁哇~~盗什么的 qq？

你不看主楼吗？，游戏号啊

倾枫锝渔♂

guidanba 发表于 2012-3-21 21:58
你不看主楼吗？，游戏号啊

我们这些都是奔着样本来的 乃懂的~~~

Nocria

倾枫锝渔♂ 发表于 2012-3-21 21:54
或许衍生的exe有随机命名的功能？
哇 这个犀利~~

这还真是奇怪了
已上报

yhjtj

2012-3-21 22:02:17    创建新进程    阻止
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\windows\system32\rundll32.exe" "C:\5215968.jpg" Capture
规则: [应用程序组]『询问』病毒测试


2012-3-21 22:07:39    创建新进程    允许
进程: c:\windows.0\explorer.exe
目标: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
命令行: "C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\wPorYmve9cOHU.exe"
规则: [应用程序]c:\windows.0\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe

2012-3-21 22:07:43    修改文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:08:17    修改文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]『询问』病毒测试 -> [文件]*


2012-3-21 22:08:28    修改文件 (2)    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*





2012-3-21 22:08:32    创建新进程    允许（打开一个游戏图片）
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: c:\windows.0\system32\rundll32.exe
命令行: "rundll32.exe" C:\WINDOWS.0\system32\shimgvw.dll,ImageView_Fullscreen C:\.jpg
规则: [应用程序组]『询问』病毒测试

2012-3-21 22:08:50    创建文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\5763781.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:09:06    创建文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\RCX15.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:09:07    修改文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\RCX15.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:09:20    删除文件    阻止
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\5763781.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:09:22    修改文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\RCX15.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-3-21 22:09:25    创建文件    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: C:\5763781.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录



2012-3-21 22:09:46    创建新进程    允许
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\wporymve9cohu.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\windows\system32\rundll32.exe" "C:\5763781.jpg" Capture
规则: [应用程序组]『询问』病毒测试

yhjtj

倾枫锝渔♂ 发表于 2012-3-21 21:47
看17L  有衍生物生成的 看来毛豆的在线沙盘没察觉到？还是环境不同？

也许反沙盘

倾枫锝渔♂

yhjtj 发表于 2012-3-21 22:17
也许反沙盘

没有反沙盘  我就是在沙盘里运行的~

迷惘的执著

金山报安全

yhjtj

倾枫锝渔♂ 发表于 2012-3-21 22:18
没有反沙盘  我就是在沙盘里运行的~

我用ssf测试，打开是一个类似记事本的程序，没有其他动作
用md测试全是病毒动作，打开的是一个游戏图片
估计这个木马能在一些程序下探测到沙盘或虚拟机，一些程序环境下探测不到，于是就原形毕露了！

yhjtj

倾枫锝渔♂ 发表于 2012-3-21 22:18
没有反沙盘  我就是在沙盘里运行的~

估计是反comodo的在线沙盘

迷惘的执著

诺顿 kill