收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 学校机房的U盘病毒真是强大啊~
123456789下一页
返回列表 发新帖
楼主: yzkn
 收起左侧

[病毒样本] 学校机房的U盘病毒真是强大啊~

  [复制链接]
SJRXM
发表于 2012-10-6 16:02:46 | 显示全部楼层
XP下的avast!报毒;Win7下的金山卫士都有报,而AVG居然没报,这也太.........
回复

举报

hddu
发表于 2012-10-6 19:20:41 | 显示全部楼层
2012-10-06 19:17:20    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config ekrn start= disabled
触发规则:应用程序规则->程序->?:\*


2012-10-06 19:17:20    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config rsravmon start= disabled
触发规则:应用程序规则->程序->?:\*


2012-10-06 19:17:24    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im ekrn.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 19:17:26    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im egui.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 19:17:30    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im 360sd.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 19:17:33    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im 360sd_se.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 19:17:34    运行应用程序      操作:阻止
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ /e /p everyone:f
cacls "C:\WINDOWS" /e /p everyone:f
触发规则:所有程序规则->系统程序设置->*\cacls.exe


2012-10-06 19:17:40    修改文件      操作:阻止并结束进程
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\drivers\acpiec.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\acpiec.sys


2012-10-06 19:17:40    创建文件      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\a18467stva41a.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


回复

举报

hddu
发表于 2012-10-6 21:09:56 | 显示全部楼层
2012-10-06 20:57:23    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config ekrn start= disabled
触发规则:应用程序规则->程序->?:\*


2012-10-06 20:57:24    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config rsravmon start= disabled
触发规则:应用程序规则->程序->?:\*


2012-10-06 20:57:26    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im ekrn.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 20:57:28    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im egui.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 20:57:30    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im 360sd.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 20:57:31    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im 360sd_se.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe


2012-10-06 20:57:32    运行应用程序      操作:阻止
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ /e /p everyone:f
cacls "C:\WINDOWS" /e /p everyone:f
触发规则:所有程序规则->系统程序设置->*\cacls.exe


2012-10-06 20:57:38    修改文件      操作:阻止
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\drivers\acpiec.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\acpiec.sys

2012-10-06 20:57:38    创建文件      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\a18467stva41a.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2012-10-06 20:57:47    运行应用程序      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\a18467stva41a.dll, droqp
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2012-10-06 20:57:48    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UPDATEDATA
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:57:48    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UPDATEDATA
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:57:48    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UPDATEDATA
注册表名称:ImagePath
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:57:49    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UPDATEDATA\Security
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:57:49    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UPDATEDATA\Enum
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:57:49    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\acpiec.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\drivers\*.sys

2012-10-06 20:58:20    创建文件      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\def26500aab6334ccd.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.dll


2012-10-06 20:58:23    创建文件      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys

2012-10-06 20:58:39    修改注册表内容      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PCIDump
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:39    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcidump
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:39    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcidump
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:40    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcidump
注册表名称:ImagePath
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:40    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcidump\Security
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:40    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcidump\Enum
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-10-06 20:58:40    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\System32\DRIVERS\pcidump.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\drivers\*.sys

2012-10-06 20:58:49    修改文件      操作:阻止
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->需要保护的文件->%WinDir%\system32\drivers\etc\*


2012-10-06 20:58:50    修改文件      操作:允许
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:(隐藏文件)C:\1.exe
触发规则:所有程序规则->全局设置->%SystemDrive%\*.exe


2012-10-06 20:58:50    创建文件      操作:阻止并结束进程
进程路径:F:\virus\U盘病毒,可以感染电脑各分区\1.exe
文件路径:C:\autorun.inf
触发规则:应用程序规则->其它文件设置(二)->E:\*->?:\autorun.*

回复

举报

zst470396853
发表于 2012-10-6 22:42:42 | 显示全部楼层
网站被阻止!
G Data 互联网安全套装 2013已阻止访问此网站。
该站点包含被感染的代码:Trojan.Generic.IS.423497, Trojan.Script.178554 (引擎A), Win32:Rootkit-gen [Rtk], VBS:Malware-gen (引擎B)。
回复

举报

fireold
发表于 2012-10-7 13:46:43 | 显示全部楼层
回复

举报

yzkn
 楼主| 发表于 2012-10-7 15:02:38 | 显示全部楼层
坑爹的说,lz的手机sd卡也已经被感染了。。刚才去问值班老师,她直接回一句,不可能的,机房电脑都会还原的。但我的sd卡和U盘均已免疫,如果她对了,那么只能说明此U盘病毒可以无视autorun.inf文件夹免疫。。
回复

举报

sbsr
发表于 2012-10-7 17:39:51 | 显示全部楼层
这算啥……我们学校每台电脑病毒开机自动运行,大约二十几条
并且还有还原卡……
回复

举报

zhousulin5
发表于 2012-10-8 11:36:37 | 显示全部楼层
yzkn 发表于 2012-10-7 15:02
坑爹的说,lz的手机sd卡也已经被感染了。。刚才去问值班老师,她直接回一句,不可能的,机房电脑都会还原的 ...

再畸形的文件夹,对于驱动级的软件来说跟普通文件没多大区别。对文件夹免疫不要报太高的期望。
回复

举报

yzkn
 楼主| 发表于 2012-10-8 23:30:41 来自手机 | 显示全部楼层
zhousulin5 发表于 2012-10-8 11:36
再畸形的文件夹,对于驱动级的软件来说跟普通文件没多大区别。对文件夹免疫不要报太高的期望。

额  我一气之下想把shadow defender装进prayaya 结果双击电脑提示您没有权限,貌似机房加驱没有权限?还有,貌似学校机房开机就有这个病毒,难道在机房装还原之前就进去了?学校机房貌似是用联想的硬盘还原,不知道防穿能力怎样
回复

举报

山人刺客
发表于 2012-11-19 20:06:55 | 显示全部楼层
mse not miss
回复

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-13 20:12 , Processed in 0.089045 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表