收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 测试样本一枚
123
返回列表 发新帖
楼主: 叶子黄了
 收起左侧

[病毒样本] 测试样本一枚

  [复制链接]
夜微凉
发表于 2012-9-20 19:55:32 | 显示全部楼层
金山卫士秒
回复

举报

尘梦幽然
发表于 2012-9-20 20:58:09 | 显示全部楼层

RE: 测试样本一枚

wjcharles 发表于 2012-9-20 19:43
至少从NIS2010就这样了。。。其实要看你怎么理解,是否可以理解为把文件中的病毒“隔离”、“删除”了,剩 ...

总觉得这种提示容易误导人
回复

举报

hddu
发表于 2012-9-21 18:10:43 | 显示全部楼层
2012-09-21 17:53:16    创建文件      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\linkinfo.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.dll


2012-09-21 17:53:17    修改文件      操作:使用任务隔离区操作
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\drivers\IsDrv118.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys


2012-09-21 17:53:18    加载驱动程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
驱动路径:C:\WINDOWS\system32\drivers\IsDrv118.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2012-09-21 17:53:18    加载驱动程序      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
驱动路径:C:\WINDOWS\system32\drivers\IsDrv118.sys
触发规则:所有程序规则->*


2012-09-21 17:53:18    删除文件      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\drivers\IsDrv118.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys


2012-09-21 17:53:18    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:18    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:18    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:18    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:18    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:19    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:19    创建远程线程      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2012-09-21 17:53:22    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\ipconfig.exe
命令行:/release *
触发规则:所有程序规则->系统程序设置->%windir%\system32\ipconfig.exe


2012-09-21 17:53:27    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:int ip reset C:\WINDOWS\resetlog.txt
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters\Options\15
注册表名称:RegLocation
更改后:SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{70CE0BCC-9CDE-4D6A-A12B-112E85CF6446}
注册表名称:NameServerList
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{70CE0BCC-9CDE-4D6A-A12B-112E85CF6446}
注册表名称:NetbiosOptions
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{9C55C554-F235-4EBA-9356-3C7246387D98}
注册表名称:NameServerList
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters
注册表名称:NameSrvQueryTimeout
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-09-21 17:53:31    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:DisableDynamicUpdate
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:EnableDhcp
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:IpAddress
更改后:0.0.0.0
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:NameServer
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:RawIpAllowedProtocols
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:SubnetMask
更改后:0.0.0.0
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:TcpAllowedPorts
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:53:31    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\netsh.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{DCDD50E6-4F37-4ED3-8102-EB4D2C1A22B2}
注册表名称:UdpAllowedPorts
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\Tcpip\Parameters\Interfaces*


2012-09-21 17:54:08    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:-s C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VBDATA\DELXP.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe


2012-09-21 17:54:10    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:-s C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VBDATA\xpwinsock.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe


2012-09-21 17:54:12    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:-s C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VBDATA\xpwinsock2.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe


2012-09-21 17:54:16    运行应用程序      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/C ren C:\WINDOWS\system32\drivers\etc\hosts hosts.bak
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2012-09-21 17:54:16    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts.bak
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%windir%\system32\drivers\etc\*


2012-09-21 17:54:16    修改文件      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->需要保护的文件->%WinDir%\system32\drivers\etc\*


2012-09-21 17:54:16    修改文件      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->需要保护的文件->%WinDir%\system32\drivers\etc\*


2012-09-21 17:54:16    修改文件      操作:阻止
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->需要保护的文件->%WinDir%\system32\drivers\etc\*


2012-09-21 17:54:26    关闭/重启系统      操作:允许
进程路径:F:\virus\WinsockxpFix\WinsockxpFix.exe

触发规则:所有程序规则->*


2012-09-21 17:55:39    应用程序保护已经开启.


2012-09-21 17:55:39    注册表保护已经开启.


2012-09-21 17:55:39    文件保护已经开启.


2012-09-21 17:55:47    加载库文件      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\linkinfo.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\WINDOWS\*.dll



回复

举报

冷冷的夜
头像被屏蔽
发表于 2012-9-21 19:57:37 | 显示全部楼层
好像还不错的啊
回复

举报

284678343
发表于 2012-9-22 11:22:45 | 显示全部楼层
  1. WinsockxpFix.exe        Virus.Win32.Alman.b        被拦截        2012/09/22 星期六 11:22:27        http://113.12.81.52/pushfile/2E/2E9BDDD86C6045363C874CF9655C6584?key=6a721f9f8c2f03a3c2fcbb2662e34655&tt=1348288000&st=mapwdq7ypAdL672mSoAGSQ&filename=WinsockxpFix.zip//       
复制代码
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-31 03:05 , Processed in 0.099808 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表