收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 老病毒,手工查杀工具无法发现,求真相~
12345
返回列表 发新帖
楼主: 余乐
 收起左侧

[病毒样本] 老病毒,手工查杀工具无法发现,求真相~

  [复制链接]
kofgame520
头像被屏蔽
发表于 2012-5-2 18:52:31 | 显示全部楼层
zhq445078388 发表于 2012-5-2 18:51
http://help.360.cn/5030806/34141887.html
那可能那个不是针对WIN7滴?
刚百度 kido 感染 win7

            楼主的样本在我这里运行不了  也无从感染了
回复

举报

zhq445078388
发表于 2012-5-2 18:54:29 | 显示全部楼层
kofgame520 发表于 2012-5-2 18:52
楼主的样本在我这里运行不了  也无从感染了

这个是百度的
http://zhidao.baidu.com/question/349364308.html

额 具体还真不清楚 但是kido应该是exe执行的...
exe用某种算法随机生成参数 这样就能执行了
回复

举报

kofgame520
头像被屏蔽
发表于 2012-5-2 19:02:43 | 显示全部楼层
zhq445078388 发表于 2012-5-2 18:54
这个是百度的
http://zhidao.baidu.com/question/349364308.html

        我有微点
回复

举报

左手
发表于 2012-5-2 19:32:17 | 显示全部楼层
sanhu35 发表于 2012-4-2 09:51
2012-4-2 09:50:55    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system3 ...

2012-05-02 19:30:41    加载动态链接库    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\documents and settings\administrator\桌面\xcxozy.dll
规则: [应用程序组]D+_全局SystemRoot目录 -> [动态链接库]*\桌面\*

2012-05-02 19:30:42    底层键盘操作    阻止
进程: c:\windows\system32\rundll32.exe
规则: [应用程序组]D+_受限系统程序

2012-05-02 19:30:42    修改其他进程的内存    阻止并结束进程
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序组]D+_受限系统程序 -> [目标应用程序]c:\windows\*

回复

举报

hx1997
发表于 2012-5-2 23:03:09 | 显示全部楼层
不是无法发现,LZ 找错地方了...

DLL 的宿主是 rundll32.exe,DLL 被加载后,向 svchost.exe 创建远程线程,再执行恶意代码。所以 DLL 应当在 rundll32.exe 而不是 svchost.exe 里。
回复

举报

hddu
发表于 2012-5-2 23:36:10 | 显示全部楼层
2012-05-02 23:31:03    加载库文件      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\virus\Desktop\xcxozy.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\system32\svchost.exe->*\*.dll


2012-05-02 23:31:16    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*


2012-05-02 23:31:21    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
注册表名称:ShellState
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*


2012-05-02 23:31:23    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*


2012-05-02 23:31:24    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\explorer.exe
命令行:F:
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe

回复

举报

sanhu35
发表于 2012-5-3 07:59:27 | 显示全部楼层
左手 发表于 2012-5-2 19:32
2012-05-02 19:30:41    加载动态链接库    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\do ...

阻止rundll32加载这个DLL   病毒就是废的

2012-05-02 19:30:41    加载动态链接库    允许
进程: c:\windows\system32\rundll32.exe
回复

举报

liulangzhecgr
发表于 2012-5-3 08:39:04 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2012-5-3 09:02 编辑

以基本用户权限运行:



以管理员权限运行:

一行批处理...真厉害!

2012-5-3 08:36:26    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""E:\downloads\管理员\Desktop\运行病毒.BAT" "
规则: [应用程序]*

2012-5-3 08:36:37    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe xcxozy.dll, ydmmgvos
规则: [应用程序]*

2012-5-3 08:36:51    底层键盘操作 (3)    允许
进程: c:\windows\system32\rundll32.exe
规则: [应用程序]*

2012-5-3 08:37:12    修改其他进程的内存 (4)    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-5-3 08:37:19    修改其他进程的线程 (4)    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-5-3 08:37:20    底层键盘操作    允许
进程: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2012-5-3 08:37:22    修改其他进程的线程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-5-3 08:37:23    底层键盘操作    允许
进程: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2012-5-3 08:37:44    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\gvsgic.dll
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:38:14    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\Program Files\Movie Maker\gvsgic.dll
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:38:43    创建注册表项    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:38:46    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\DisplayName
值: Task Update
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:38:52    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Type
值: 0x00000020(32)
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:00    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Start
值: 0x00000002(2)
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:06    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\ErrorControl
值: 0x00000000(0)
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:11    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\ImagePath
值: %SystemRoot%\system32\svchost.exe -k netsvcs
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:17    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\ObjectName
值: LocalSystem
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:26    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Description
值: 启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:32    创建注册表项    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Parameters
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:43    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Parameters\ServiceDll
值: C:\Program Files\Movie Maker\gvsgic.dll
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:49    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
值: 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:39:57    修改注册表项权限    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh\Parameters
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:40:04    修改注册表项权限    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ixgltijyh
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:40:14    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\017.tmp
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:40:21    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\TEMP\018.tmp
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:40:24    修改文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\TEMP\018.tmp
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:40:29    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:40:35    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Type
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:40:41    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Start
值: 0x00000003(3)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:06    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\ErrorControl
值: 0x00000000(0)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:10    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:19    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\ImagePath
值: \??\C:\WINDOWS\TEMP\018.tmp
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:32    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
值: 24 00 00 00 32 28 01 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 0d 00 00 00 00 00 00 00 02 00 00 00
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:38    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\DisplayName
值: efdbqcp
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:41    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:43    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Security
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:44    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowCompColor
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:47    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Security\Security
值: 01 00 14 80 90 00 00 00 9c 00 00 00 14 00 00 00 30 00 00 00 02 00 1c 00 01 00 00 00 02 80 14 00 ff 01 0f 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 fd 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 ff 01 0f 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8d 01 02 00 01 01 00 00 00 00 00 05 0b 00 00 00 00 00 18 00 fd 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:48    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:50    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\temp\018.tmp
规则: [应用程序]c:\windows\system32\services.exe

2012-5-3 08:41:52    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\DontPrettyPath
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:54    删除文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\temp\018.tmp
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:41:55    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:57    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\DeleteFlag
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:41:58    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:41:59    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Start
值: 0x00000004(4)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:00    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\MapNetDrvBtn
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:42:02    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:03    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:42:05    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EFDBQCP\0000\Driver
值: {8ECC055D-047F-11D1-A537-0000F8753ED1}\0000
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:06    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Filter
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:42:09    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:10    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:42:12    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EFDBQCP\0000
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:13    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SeparateProcess
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2012-5-3 08:42:15    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EFDBQCP\0000\Control
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:16    向其他进程发送消息    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SETTINGCHANGE
规则: [应用程序]*

2012-5-3 08:42:18    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EFDBQCP\0000
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:19    创建新进程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\explorer.exe
命令行: explorer E:\downloads
规则: [应用程序]*

2012-5-3 08:42:20    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EFDBQCP
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:22    设置文件隐藏属性    允许
进程: c:\windows\system32\svchost.exe
目标: C:\Program Files\Movie Maker\gvsgic.dll
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 08:42:23    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Security
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:26    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp\Enum
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:28    删除注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\efdbqcp
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:29    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
值: 0x00000004(4)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:42:31    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Start
值: 0x00000004(4)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 08:43:08    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 02 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

2012-5-3 08:43:42    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
值: 46 00 00 00 01 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 d0 83 c7 bd c5 28 cd 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 c0 a8 00 70 00 00 00 00 00 00 00 00 57 00 53 00 5c 00 73 00 79 00 73 00 74 00 65 00 6d 00 33 00 32 00 5c 00 63 00 6f 00 6e 00 66 00 69 00 67 00 5c 00 73 00 79 00 73 00 74 00 65 00 6d 00 70 00 72 00 6f 00 66 00 69 00 6c 00 65 00 5c 00 4c 00 6f 00 63 00 61 00 6c 00 20 00 53 00 65 00 74 00 74 00 69 00 6e 00 67 00 73 00 5c 00 54 00 65 00 6d 00 70 00 00 00 00 00 00 00 00 00
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]*

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ososo
发表于 2012-5-3 13:25:12 | 显示全部楼层


这个分析的太强大了。

https://fireeye.ijinshan.com/ana ... 74630369e232704fa4d

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

12345
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-25 08:43 , Processed in 0.107562 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表