flav.exe

左手

:Repeat
del "C:\WINDOWS\test\flav.exe"
if exist "C:\WINDOWS\test\flav.exe" goto Repeat
del "C:\WINDOWS\test\z.bat"
2012-5-9 16:04:16    修改注册表值    阻止并结束进程
进程: c:\program files\test\flav.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://kr.yahoo.com/?ilc=127
规则: [注册表组]Malicious Keys -> [注册表]*\Software\Microsoft\Internet explorer\Main; Start Page*

尘梦幽然

消停 发表于 2012-5-9 14:05
sonar还可以！你是用虚拟机吗？

wj开着UAC，基本都是实机测。
开UAC的64x系统很少有毒会感染。

xyc5238207

gdata

英九

网站被阻止！
G Data 互联网安全套装 2012已阻止访问此网站。
该站点包含被感染的代码：Trojan.Generic.KD.617325 (引擎A)。

Howl

试图修改ie的注册表项，访问韩国ip地址，全部拒绝后删除自身，应为提前被拦住了没有后续行为也就没触发微点主防，我还是会上报微点的。

zhangbing

BD2013

noahgong

QQ管家报了。小A miss ，已上报

noahgong

基本信息
文件名称：flav.exe
文件哈希：2bfc9a29314ec2a00225d94673511147
文件大小：300032字节
创建时间：2012-05-09 14:32:11
文件类型：EXE
PEID信息：Nothing found *
文件描述：fff
文件版本：1, 0, 0, 5
版权所有：Copyright (C) 2011
原始文件名：ff.EXE
产品名称：FF
产品版本：1, 0, 0, 5
危险行为监控
行为描述：运行后删除自身，警惕恶意软件！
附加信息：
无
行为描述：修改用户的浏览器主页，常被病毒利用来做推广。
附加信息：
http://kr.yahoo.com/?ilc=127
其他行为监控
行为描述：检测是否存在指定注册表键
附加信息：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
行为描述：查找文件
附加信息：
"%SampleStore%\sample.v"
"%SampleStore%\z.bat"
文件操作监控
操作        文件MD5        文件大小        文件路径
释放后删除        2bfc9a29314ec2a00225d94673511147        300032        %SampleStore%\sample.v
释放后删除        cab2687a0ac0e94eb51a0a1433aa5184        92        %SampleStore%\z.bat
进程操作监控
创建进程：%SampleStore%\z.bat
启动参数：无
注册表监控新增删除修改
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
[Start Page] = [http://kr.yahoo.com/?ilc=127]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
[Start Page] = [http://kr.yahoo.com/?ilc=127]
网络监控
网络操作
【访问网址】http://ilc.nbz.co.kr/install.asp?id=127&mac=[MAC-ADDRESS]

不放弃。

红伞CLEAN 已上报！

wjcharles

消停 发表于 2012-5-9 14:05
sonar还可以！你是用虚拟机吗？

我都是实机的