VT Detection ratio: 4 / 45 3xhvx2gdir1wg34ympgaos.exe

显示全部楼层 · 发表于 2013-1-20 11:46:56

firefox3 发表于 2013-1-20 11:45
那你没看看是不是33防御的结果？

日志空的..也不知道是不是，按理说样本没那么好心

显示全部楼层 · 发表于 2013-1-20 11:57:40

vm001 发表于 2013-1-20 11:46
日志空的..也不知道是不是，按理说样本没那么好心

你没挂上代{过}{滤}理，要是能Fan{过}{滤}Qiang的话，估计会很爽的

显示全部楼层 · 发表于 2013-1-20 12:51:43

本帖最后由 avoyoo 于 2013-1-20 12:53 编辑

锁屏。白色背景图
昨晚睡的早，没看到你的回复，现在补测。
主要行为：
注入explorer，遍历目录寻找svchost，随后利用explorer注入svchost；
svchost释放C:\Documents and Settings\Administrator\Application Data\skype.dat及skype.ini，设定系统属性；
通过修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell注册表内容为explorer.exe,C:\Documents and Settings\Administrator\ApplicationData\skype.dat.达到开机启动目的，这点值得学习，一般都是加run或修改ini；
创建HKEY_CURRENT_USER\Software\Microsoft\Multimedia\DrawDib注册表，设定键及键值为vga.drv 1366x664x32(BGR 0)及31,31,31,31. ；
多次枚举进程表，联网（ckza.ru/jv-zvyxpajheluqfpneqsxptfigqpiqacwpvknqjhne_osbw_dmys_cnjx-xvuq-qtgxcgbcqcuysnddsp-ykrk_rgnb-.php及172.18.0.6:53）
随后删除skype.dat及skype.ini（咦........）

显示全部楼层 · 发表于 2013-1-20 13:05:14

avoyoo 发表于 2013-1-20 12:51
锁屏。白色背景图
昨晚睡的早，没看到你的回复，现在补测。
主要行为：

通过修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell注册表内容为explorer.exe,C:\Documents and Settings\Administrator\ApplicationData\skype.dat.达到开机启动目的

不错不错

显示全部楼层 · 发表于 2013-1-20 13:13:10

趋势科技,miss

[可疑文件] VT Detection ratio: 4 / 45 3xhvx2gdir1wg34ympgaos.exe