收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 瑞星静默安装样本!!堪称最NB的强制安装……值得一测… ...
1234567下一页
返回列表 发新帖
楼主: 赤井秀一
 收起左侧

[病毒样本] 瑞星静默安装样本!!堪称最NB的强制安装……值得一测……

  [复制链接]
Al7SF
发表于 2012-4-26 20:31:19 | 显示全部楼层
赤井秀一 发表于 2012-4-26 20:20
哈哈  厉害吧   这就是NB的瑞星做出的作品

我身边有3个人都中了这个....神码CF卡枪软件,挤频道软件,内置这个,还有其他各种小软件,万恶的瑞星.
回复

举报

赤井秀一
 楼主| 发表于 2012-4-26 21:06:29 | 显示全部楼层
Al7SF 发表于 2012-4-26 20:31
我身边有3个人都中了这个....神码CF卡枪软件,挤频道软件,内置这个,还有其他各种小软件,万恶的瑞星.

不过像这种下三滥,大多杀软都不屑于拦截   可不要为了这个得了杀软综合征哦
回复

举报

zalesv
发表于 2012-4-26 21:43:07 | 显示全部楼层
这个我也中过,太牛X了,一共就几百KB的东西,把瑞星杀毒软件从下载到安装全过程完成,而且不会被你发现。很佩服!卸载之后瑞星杀毒软件的残留也很吓人,在AppData临时目录下存有上百兆垃圾。果断在软件管家里给差评...
回复

举报

赤井秀一
 楼主| 发表于 2012-4-26 21:49:19 | 显示全部楼层
zalesv 发表于 2012-4-26 21:43
这个我也中过,太牛X了,一共就几百KB的东西,把瑞星杀毒软件从下载到安装全过程完成,而且不会被你发现。很 ...

是啊  是这样  很强大很变态的
回复

举报

下页:_儁。
发表于 2012-4-26 21:54:00 | 显示全部楼层
确实   我是体会到了  比木马还可怕  太难清除了  同事一电脑跟我说中病毒了  我一看原来 是被某家恶心杀软控制了 软删不掉  硬删也删不掉  无奈  只好重装系统
回复

举报

赤井秀一
 楼主| 发表于 2012-4-26 22:08:08 | 显示全部楼层
下页:_儁。 发表于 2012-4-26 21:54
确实   我是体会到了  比木马还可怕  太难清除了  同事一电脑跟我说中病毒了  我一看原来 是被某家恶心杀软 ...

我是安全模式下暴力删除,结果开机自检好久,貌似哪里总不正常
回复

举报

liulangzhecgr
发表于 2012-4-27 07:00:32 | 显示全部楼层
赤井秀一 发表于 2012-4-26 22:08
我是安全模式下暴力删除,结果开机自检好久,貌似哪里总不正常

那个什么dat的文件带有瑞星的签名...
回复

举报

下页:_儁。
发表于 2012-4-27 08:22:49 | 显示全部楼层
赤井秀一 发表于 2012-4-26 22:08
我是安全模式下暴力删除,结果开机自检好久,貌似哪里总不正常

比病毒可怕的多了 重装吧  干干净净的  要不心里会有阴影的
回复

举报

ppy0606
发表于 2012-4-27 13:39:48 | 显示全部楼层
/tiao眼镜鱼 发表于 2012-4-26 10:50
2012-4-26 10:48:38    访问网络    阻止
进程: c:\documents and settings\administrator\桌面\rav126714 ...

本身需要联网的

不让他 联网看不到下面的动作的
回复

举报

ppy0606
发表于 2012-4-27 13:41:06 | 显示全部楼层
开始有几个磁盘底层操作,重启后,日志多被刷了


2012/4/27 13:36:52    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:53    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:54    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
值: local
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:56    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:57    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 7e 11 00 00 01 00 00 00 00 00 00 00 05 00 00 00 6c 6f 63 61 6c 00 00 00 00 00 00 00 00 00 00 00 00 c0 ba db bc c7 05 cd 01 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 17 00 00 00 00 00 00 00 fe 80 00 00 00 00 00 00 e1 eb ac 4b 96 d3 39 d1 0b 00 00 00 00 00 00 00 84 51 be 77 48 a5 bd 77 70 30 8c 72 d9 06 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 40 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 17 00 00 00 00 00 00 00 fe 80 00 00 00 00 00 00 1c 21 08 c5 8e 09 8b 9d 18 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 c0 a8 01 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 44 00 00 00 41 53 59 43 00 00 00 00 17 00 00 00 00 00 00 00 20 01 00 00 41 37 9e 76 1c 21 08 c5 8e 09 8b 9d 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4c 56 45 00 1d 00 00 1d df fc 00 00 48
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:58    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:36:59    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:00    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:01    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:01    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:02    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:03    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:04    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:04    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:05    删除注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:06    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:07    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/27 13:37:11    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51898] ->  [211.103.159.80 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:37:15    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51899] ->  [211.103.159.108 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:37:17    修改注册表值    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavDown
值: "F:\下载\Compressed\rav1267145\rav1267145.exe" /session 32807CD52A4741F393EA6E4F954AD406 /subkey RAV
规则: [应用程序组]『询问』病毒测试 -> [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2012/4/27 13:37:18    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51901] ->  [211.103.159.106 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:37:19    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51903] ->  [211.103.159.81 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:37:23    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51904] ->  [61.183.41.232 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:37:26    创建文件    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: C:\Users\Choow\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZFLPLXNU\ravbd[2].exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]网马监视

2012/4/27 13:38:39    访问网络    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: TCP [本机 : 51946] ->  [211.103.159.105 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/27 13:38:47    创建新进程    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: c:\users\choow\appdata\local\temp\ravdown\rising.dat
命令行: "C:\Users\Choow\AppData\Local\Temp\RavDown\Rising.dat" -eo="C:\Users\Choow\AppData\Local\Temp\RAVTmp" /silence
规则: [应用程序组]『询问』病毒测试

2012/4/27 13:38:47    读文件夹    阻止
进程: c:\users\choow\appdata\local\temp\ravdown\rising.dat
目标: F:\下载\Compressed\rav1267145
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:04    创建新进程    允许
进程: f:\下载\compressed\rav1267145\rav1267145.exe
目标: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
命令行: "C:\Users\Choow\AppData\Local\Temp\RAVTmp\setup.exe"  /S
规则: [应用程序组]『询问』病毒测试

2012/4/27 13:39:04    读文件夹    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: F:\下载\Compressed\rav1267145
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:05    读文件    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: F:\Program Files\360\360Safe\safemon\safemon.dll
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:05    读文件    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: F:\下载\Compressed\rav1267145\rav1267145.exe
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:09    创建新进程    允许
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: c:\users\choow\appdata\local\temp\ravtmp\spanup\checkold.exe
命令行: "C:\Users\Choow\AppData\Local\Temp\RAVTmp\spanup\CheckOld.exe" /subkey=rav /SILENCE
规则: [应用程序]*

2012/4/27 13:39:09    读文件    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\spanup\checkold.exe
目标: F:\Program Files\360\360Safe\safemon\safemon.dll
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:16    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\choow\appdata\local\temp\ravtmp\langcfg\langsel.exe
命令行: "C:\Users\Choow\AppData\Local\Temp\RAVTmp\langcfg\LangSel.exe" /install /936 /950 /1252 /SILENCE
规则: [应用程序]*

2012/4/27 13:39:16    读文件    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\langcfg\langsel.exe
目标: F:\Program Files\360\360Safe\safemon\safemon.dll
规则: [文件组]隐藏磁盘 -> [文件]f:\*

2012/4/27 13:39:16    修改注册表值    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Rising
值: Admin Test
规则: [注册表组]驱动服务 -> [注册表]*\SYSTEM\*Controlset*\Services

2012/4/27 13:39:16    读文件    阻止
进程: c:\users\choow\appdata\local\temp\ravtmp\setup.exe
目标: F:\Program Files\360\360Safe\safemon\safemon.dll
规则: [文件组]隐藏磁盘 -> [文件]f:\*


太难跑了

安装的玩意

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 21:41 , Processed in 0.106654 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表