加载驱动的病毒

显示全部楼层 · 发表于 2012-9-11 17:24:12

你们测试~我只来看看结果

显示全部楼层 · 发表于 2012-9-11 17:34:16

本帖最后由 liulangzhecgr 于 2012-9-11 19:12 编辑

2012-9-11 17:30:57 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9.11\1.exe
命令行: "E:\downloads\管理员\9.11\1.exe"
规则: [应用程序]*

2012-9-11 17:31:13 创建文件允许
进程: e:\downloads\管理员\9.11\1.exe
目标: C:\Windows\boot.ini
规则: [应用程序]* -> [文件]*

2012-9-11 17:31:43 安装驱动程序或服务允许
进程: e:\downloads\管理员\9.11\1.exe
目标: E:\downloads\管理员\9.11\Kdb.sys
规则: [应用程序]*

2012-9-11 17:31:57 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: e:\downloads\管理员\9.11\kdb.sys
规则: [应用程序]c:\windows\system32\services.exe

评语：搞笑样本，没有创建驱动文件而创建服务以及加驱...

+++++++++++++++++++++++++++++++++++++++++++++++++
第二个文件运行...

2012-9-11 17:38:14 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\ntvdm.exe
命令行: "C:\WINDOWS\system32\ntvdm.exe" -f -i2 -o
规则: [应用程序]*

+++++++++++++++++++++++++++++++++++++++++++++++++

2012-9-11 17:39:41 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9.11\3.exe
命令行: "E:\downloads\管理员\9.11\3.exe"
规则: [应用程序]*

2012-9-11 17:39:48 创建文件允许
进程: e:\downloads\管理员\9.11\3.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\jdbbxsetup_baidu.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:40:21 创建新进程允许
进程: e:\downloads\管理员\9.11\3.exe
目标: c:\documents and settings\administrator\local settings\temp\jdbbxsetup_baidu.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\jdbbxsetup_baidu.exe"
规则: [应用程序]*

2012-9-11 17:40:25 修改其他进程允许
进程: e:\downloads\管理员\9.11\3.exe
目标: c:\documents and settings\administrator\local settings\temp\jdbbxsetup_baidu.exe
规则: [应用程序]*

2012-9-11 17:40:34 创建文件允许
进程: e:\downloads\管理员\9.11\3.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\bbx_setup.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:40:37 创建新进程允许
进程: e:\downloads\管理员\9.11\3.exe
目标: c:\documents and settings\administrator\local settings\temp\bbx_setup.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bbx_setup.exe"
规则: [应用程序]*

2012-9-11 17:40:41 修改其他进程允许
进程: e:\downloads\管理员\9.11\3.exe
目标: c:\documents and settings\administrator\local settings\temp\bbx_setup.exe
规则: [应用程序]*

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2012-9-11 17:42:56 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9.11\5.exe
命令行: "E:\downloads\管理员\9.11\5.exe"
规则: [应用程序]*

2012-9-11 17:42:58 创建文件夹允许
进程: e:\downloads\管理员\9.11\5.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\Temp
规则: [应用程序]* -> [文件]*

2012-9-11 17:43:01 创建文件允许
进程: e:\downloads\管理员\9.11\5.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\dnf连发.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:43:03 创建文件允许
进程: e:\downloads\管理员\9.11\5.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\Temp\dnf双开.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:43:35 创建新进程允许
进程: e:\downloads\管理员\9.11\5.exe
目标: c:\documents and settings\administrator\local settings\temp\temp\dnf连发.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Temp\dnf连发.exe"
规则: [应用程序]*

2012-9-11 17:43:38 修改其他进程允许
进程: e:\downloads\管理员\9.11\5.exe
目标: c:\documents and settings\administrator\local settings\temp\temp\dnf连发.exe
规则: [应用程序]*

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2012-9-11 17:45:07 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9.11\6.exe
命令行: "E:\downloads\管理员\9.11\6.exe"
规则: [应用程序]*

2012-9-11 17:45:41 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\7E71JL4Z\rav1069333[1].exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:45:47 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Program Files\rav1069333.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:46:10 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\1CYNHX9A\PPTV(pplive)_forheima_0046[1].exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:46:13 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Program Files\PPTV(pplive)_forheima_0046.exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:46:17 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ICLW4GW5\adfile[1].exe
规则: [应用程序]* -> [文件]*

2012-9-11 17:46:19 创建文件允许
进程: e:\downloads\管理员\9.11\6.exe
目标: C:\Program Files\adfile.exe
规则: [应用程序]* -> [文件]*

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2012-9-11 17:50:25 向其他进程发送消息允许
进程: e:\downloads\管理员\9.11\7.exe
目标: c:\windows\explorer.exe
消息: WM_DDE_EXECUTE
规则: [应用程序]*

2012-9-11 17:50:50 修改其他进程的内存允许
进程: e:\downloads\管理员\9.11\7.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-9-11 17:51:04 在其他进程中创建线程允许
进程: e:\downloads\管理员\9.11\7.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

除了最后一个样本之外，其他样本都过不了软件限制策略+ntfs权限关口！

显示全部楼层 · 发表于 2012-9-11 17:37:53

7 Virus.Win32.Sality.bh 已删除 2012/09/11 星期二 17:37:27 C:\Users\Chobits\Virus\9.11\
6 Trojan-Downloader.Win32.Genome.dbep 已删除 2012/09/11 星期二 17:37:26 C:\Users\Chobits\Virus\9.11\
5 HEUR:Trojan.Win32.Generic 已删除 2012/09/11 星期二 17:37:26 C:\Users\Chobits\Virus\9.11\
4 Packed.Win32.PePatch.lx 已删除 2012/09/11 星期二 17:37:24 C:\Users\Chobits\Virus\9.11\
3 Packed.Win32.PePatch.lx 已删除 2012/09/11 星期二 17:37:24 C:\Users\Chobits\Virus\9.11\
2 HEUR:Trojan.Win32.Generic 已清除 2012/09/11 星期二 17:37:23 C:\Users\Chobits\Virus\9.11\
1 Trojan-PSW.Win32.QQPass.anyn 已删除 2012/09/11 星期二 17:37:20 C:\Users\Chobits\Virus\9.11\

复制代码

显示全部楼层 · 发表于 2012-9-11 18:10:34

Dr.Web killed all.

显示全部楼层 · 发表于 2012-9-11 19:04:07

諾頓 360 miss 2

显示全部楼层 · 发表于 2012-9-11 19:11:51

炎之使者发表于 2012-9-11 19:04
諾頓 360 miss 2

哥们sonar测完了吗

显示全部楼层 · 发表于 2012-9-11 19:20:45

博士 KILL 6X

显示全部楼层 · 发表于 2012-9-11 19:21:05

酱紫啊~ 发表于 2012-9-11 19:11
哥们sonar测完了吗

360卫士 kill 5 miss 2

显示全部楼层 · 发表于 2012-9-11 19:22:16

文件信息
文件名称：C:\360高速下载\1.exe
文件大小：
268 Kb
内部名称：
NewAlg
文件签名：
无文件签名信息
文件描述：
是一个安全的文件
文件MD5：
adad25fd98c30a0ccfe0a68664b19781

文件信息
文件名称：C:\360高速下载\2.exe
文件大小：
53 Kb
内部名称：
无内部名称
文件签名：
无文件签名信息
文件描述：
是一个安全的文件
文件MD5：
f444c7d7663a2ede59f4a5f12916b435
360卫士剩下的两个鉴定安全。。

显示全部楼层 · 发表于 2012-9-11 19:24:17

jayavira 发表于 2012-9-11 15:36
pca kill all

360miss的两个都云鉴定安全

[病毒样本] 加载驱动的病毒

本帖子中包含更多资源

本帖子中包含更多资源