[病毒样本] 59

显示全部楼层 · 发表于 2012-5-3 15:42:37

本帖最后由 liulangzhecgr 于 2012-5-3 15:47 编辑

360Tencent 发表于 2012-5-3 15:00
据说是0A

很像很像...可是样本没有发挥？！

难道要关闭MD就不一样？！

=================================================

2012-5-3 15:26:24 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
命令行: "E:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe"
规则: [应用程序]*

2012-5-3 15:26:31 修改其他进程的内存允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-5-3 15:26:34 修改其他进程的线程允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-5-3 15:26:47 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe

2012-5-3 15:26:51 访问网络允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: UDP [本机 : 1223] -> [8.8.8.8 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-3 15:27:03 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}
规则: [文件]*

2012-5-3 15:27:04 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\U
规则: [文件]*

2012-5-3 15:27:06 创建文件允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\@
规则: [文件]*

2012-5-3 15:27:08 创建文件允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\n
规则: [文件]*

2012-5-3 15:27:09 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\L
规则: [文件]*

2012-5-3 15:27:12 创建注册表项允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_CURRENT_USER\Software\Classes\clsid
规则: [注册表]*

2012-5-3 15:27:16 创建注册表项允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}
规则: [注册表]*

2012-5-3 15:27:20 创建注册表项允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32
规则: [注册表]*

2012-5-3 15:27:23 修改注册表值允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32\ThreadingModel
值: Both
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\CLSID\*\InProcServer32

2012-5-3 15:27:27 修改注册表值允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\n.
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\CLSID\*\InProcServer32

2012-5-3 15:27:37 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}
规则: [文件]*

2012-5-3 15:27:42 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Type
值: 0x00000020(32)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 15:27:49 修改注册表值允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
规则: [注册表]*

2012-5-3 15:27:52 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\U
规则: [文件]*

2012-5-3 15:27:54 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
值: 0x00000004(4)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 15:28:06 创建文件允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\@
规则: [文件]*

2012-5-3 15:28:10 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ErrorControl
值: 0x00000000(0)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 15:28:14 创建文件夹允许
进程: c:\windows\system32\svchost.exe
目标: C:\Documents and Settings\NetworkService\IETldCache
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-5-3 15:28:17 创建文件允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\n
规则: [文件]*

2012-5-3 15:28:21 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\DeleteFlag
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 15:28:30 创建文件夹允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\L
规则: [文件]*

2012-5-3 15:28:34 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
值: 0x00000004(4)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2012-5-3 15:28:39 创建注册表项允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\IETld
规则: [注册表]*

2012-5-3 15:28:42 修改注册表项权限允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32
规则: [注册表]*

2012-5-3 15:29:16 修改其他进程的内存允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\services.exe
规则: [应用程序]*

2012-5-3 15:29:27 修改其他进程的线程允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\services.exe
规则: [应用程序]*

2012-5-3 15:29:42 访问网络允许
进程: c:\windows\system32\services.exe
目标: UDP [本机 : 1251] -> [24.122.164.3 : 16464]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-3 15:30:47 创建文件允许
进程: c:\windows\system32\services.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\U\00000001.$
规则: [应用程序]c:\windows\system32\services.exe -> [文件]*

2012-5-3 15:30:55 创建文件允许
进程: c:\windows\system32\services.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\U\80000000.$
规则: [应用程序]c:\windows\system32\services.exe -> [文件]*

2012-5-3 15:31:12 创建文件允许
进程: c:\windows\system32\services.exe
目标: C:\WINDOWS\Installer\{5aa9e9dd-318c-b1a8-9bb4-0dd58a4d9074}\U\800000cb.$
规则: [应用程序]c:\windows\system32\services.exe -> [文件]*

2012-5-3 15:31:28 创建新进程允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe"
规则: [应用程序]*

2012-5-3 15:31:33 向其他进程复制句柄允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\cmd.exe
句柄: (File) E:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
规则: [应用程序]*

2012-5-3 15:31:36 修改其他进程的内存允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]*

2012-5-3 15:31:39 修改其他进程的线程允许
进程: e:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]*

2012-5-3 15:31:45 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: E:\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-5-3 15:34:17 修改其他进程的内存允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\system32\services.exe

2012-5-3 15:34:22 修改其他进程的线程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]c:\windows\system32\services.exe

显示全部楼层 · 发表于 2012-5-3 16:01:22

本帖最后由 liulangzhecgr 于 2012-5-3 16:31 编辑

好可怕啊！

显示全部楼层 · 发表于 2012-5-3 17:02:26

红伞kill F:\下载（F）\animal-porn-movie.avi.zip 该文件包含一个伪装成无害文件(HIDDENEXT/Worm.Gen)的可执行程序
NIs miss

显示全部楼层 · 发表于 2012-5-3 17:09:03

COMODO 报毒 FS扫描没报还没入库

显示全部楼层 · 发表于 2012-5-3 17:13:09

本帖最后由 liulangzhecgr 于 2012-5-3 17:16 编辑

双击样本，自动进入金山沙箱...

金山毒霸防御成功

显示全部楼层 · 发表于 2012-5-3 18:23:40

卡巴杀

显示全部楼层 · 发表于 2012-5-3 21:43:08

大案要案在身发表于 2012-5-3 17:02
红伞kill F:\下载（F）\animal-porn-movie.avi.zip 该文件包含一个伪装成无害文件(HIDDENEXT/ ...

NIS没更新？4L和我这都杀了。。。

完整路径: c:\users\sshss\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/5/3 ( 21:41:24 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\users\sshss\downloads\animal-porn-movie.avi\animal-porn-movie.avi.exe
已删除
____________________________
文件指纹 - SHA:
8be9b39f78064d454e90b7fead8d51e8e4749e880f1e00b0fd843227b7677bd1
____________________________
文件指纹 - MD5:
2efe003b8969fa946f194333152f334c
____________________________

显示全部楼层 · 发表于 2012-5-3 22:12:56

wjcharles 发表于 2012-5-3 21:43
NIS没更新？4L和我这都杀了。。。

我的nis穿越了，情况好转了。

显示全部楼层 · 发表于 2012-5-3 22:24:33

密码?

显示全部楼层 · 发表于 2012-5-4 08:44:14

密码？？？

[病毒样本] 59

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

RE: 59

浏览过的版块