有什么比较强大的病毒，发来玩玩

显示全部楼层 · 发表于 2012-4-27 18:10:04

xmzhihui 发表于 2012-4-27 17:38
在发几个玩玩虚拟机上测试看看哈哈

虚拟机？！玩mbr病毒就行啦！用不着bmw啊！

显示全部楼层 · 发表于 2012-4-27 20:26:00

显示全部楼层 · 发表于 2012-4-27 20:28:54

本帖最后由 liulangzhecgr 于 2012-4-27 20:37 编辑

2012-4-27 19:42:38 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\复件 tdl型鬼影\rocket.exe
命令行: "E:\downloads\复件 tdl型鬼影\Rocket.exe"
规则: [应用程序]*

2012-4-27 19:42:44 创建文件允许
进程: e:\downloads\复件 tdl型鬼影\rocket.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\stinst.log
规则: [文件]*

2012-4-27 19:42:51 创建文件允许
进程: e:\downloads\复件 tdl型鬼影\rocket.exe
目标: C:\WINDOWS\system32\7ED4061C.tmp
规则: [文件]*

2012-4-27 19:43:00 向其他进程发送消息 (2) 允许
进程: e:\downloads\复件 tdl型鬼影\rocket.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*

2012-4-27 19:43:07 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\stinst.log
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2012-4-27 19:43:21 修改注册表项权限允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}\LogConf
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:22 修改注册表项权限允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}\Control
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:23 修改注册表项权限允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:28 创建注册表项允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5BBF3172
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:29 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5BBF3172\Start
值: 0x00000000(0)
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:30 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5BBF3172\Type
值: 0x00000001(1)
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:31 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5BBF3172\ImagePath
值: system32\5BBF3172.sys
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:33 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5BBF3172\Group
值: Base
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:34 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}\Service
值: 5BBF3172
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:43:38 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\5BBF3172.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2012-4-27 19:44:07 底层磁盘写操作允许
进程: c:\windows\explorer.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]c:\windows\explorer.exe

2012-4-27 19:44:10 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\11d61ba3.bat" "
规则: [应用程序]*

2012-4-27 19:44:12 修改文件允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2012-4-27 19:44:14 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\7ED4061C.tmp
规则: [文件]*

2012-4-27 19:44:17 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Start
值: 0x00000000(0)
规则: [应用程序]c:\windows\explorer.exe -> [注册表]*

2012-4-27 19:44:19 创建文件夹允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:22 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\system32\7ED4061C.tmp
规则: [文件]*

2012-4-27 19:44:24 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2280.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:26 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2288.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:27 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2316.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:29 修改文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2288.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:39 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2328.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:41 修改文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2316.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:49 修改文件 (6) 允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2328.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:55 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\TEMP\34470f46.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:44:58 修改文件 (2) 允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2328.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-4-27 19:45:01 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\temp\34470f46.exe
命令行: "C:\WINDOWS\TEMP\34470f46.exe"
规则: [应用程序]*

2012-4-27 19:45:06 修改文件允许
进程: c:\windows\system32\svchost.exe
目标: E:\SR\2328.log
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

sfc_oc.dll

显示全部楼层 · 发表于 2012-4-27 21:51:21

liulangzhecgr 发表于 2012-4-27 20:28
2012-4-27 19:42:38 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\复件 tdl ...

佩服！~

我不习惯带套啥的

反正也跑过毒

危险动作还是知道点

就怕规则灵异啊，虽说暂时没出现

看到MD区有人出现，有点担心

看RP吧~

[病毒样本] 有什么比较强大的病毒，发来玩玩

本帖子中包含更多资源

本帖子中包含更多资源