我的照片

清茗微漾

大蜘蛛 发表于 2013-1-26 21:36
我的怎么没拦截

啊，我是win8 se

大蜘蛛

清茗微漾 发表于 2013-1-26 22:10
啊，我是win8 se

那BD呢个user mode和另一个东西是什么意思

mmppp9898

虚拟机WINXP-SP3单奔 微点被完爆！亲身鉴定，该病毒为远控 ！而且此时此刻服务端在线！
我单奔微点的虚拟机被该黑客完全控制！眼看着他操作，手动关闭微点，然后该上传的上传，该删除的删除，如入无人之境……最后试图删除微点文件，没成功，又试图格式化C盘，还是不成功，再然后试图格式化D盘是成功了！最后干脆点系统还原神马的，……他操作很顺利，我网速6M光纤，4核本子，畅通无阻，我都来不及截图太多管见点，随便截图一张！
强烈建议大家不要实机玩这个毒！黑客此刻在线！


后来占用I/O太多，卡的不行，我烦了，就从虚拟机的控制里重启电脑了（机器已被锁屏控制！）！

huicuan

我晕  为啥我用2345解压说文件损坏啊

vm001

mmppp9898 发表于 2013-1-26 22:16
虚拟机WINXP-SP3单奔 微点被完爆！亲身鉴定，该病毒为远控 ！而且此时此刻服务端在线！
我单奔微点的 ...

你应该和他聊会天

mmppp9898

vm001 发表于 2013-1-26 22:23
你应该和他聊会天

他夺了控制权，我完全没有和他聊天的能力~
不过他倒是知道没啥坏事能干的~也就删除一点快捷方式开始菜单，格式化D盘之类的胡乱破坏，没有什么目的性……他应该知道这是虚拟机，我开着微点，开着XT，他也知道我在试毒的！

mmppp9898

hddu 发表于 2013-1-26 18:00
每次测试都不同，这次黑屏，鼠标乱动，不停按动鼠标，发现它竟然要格式化D盘，天啊。

黑客在线远控的吧？

hddu

vm001 发表于 2013-1-26 18:05
那是你被远控以后，他在控制端现场操作，可不每次不一样...

太坏了。

hddu

2013-01-26 17:40:16    运行应用程序      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen F:\virus\我的照片[2]\我的照片\我的照片\xxx.bmp
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-01-26 17:40:16    运行应用程序      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\Program Files\BaoFeng\StormPlayer.exe
触发规则:应用程序规则->程序->?:\*


2013-01-26 17:40:17    修改注册表内容      操作:阻止
进程路径:C:\Program Files\BaoFeng\StormPlayer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Default]
触发规则:应用程序规则->%ProgramFiles%文件设置->%ProgramFiles%\*.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2013-01-26 17:42:18    创建文件      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\Program Files\BaoFeng
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2013-01-26 17:42:18    创建文件      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\Program Files\BaoFeng\StormPlayer.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll


2013-01-26 17:42:30    创建文件      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\Program Files\BaoFeng\StormPlayer.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2013-01-26 17:42:31    运行应用程序      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen F:\virus\我的照片[2]\我的照片\我的照片\xxx.bmp
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-01-26 17:42:32    运行应用程序      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\spy.cmd
文件路径:C:\Program Files\BaoFeng\StormPlayer.exe
触发规则:应用程序规则->程序->?:\*


2013-01-26 17:42:34    修改注册表内容      操作:阻止
进程路径:C:\Program Files\BaoFeng\StormPlayer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Default]
触发规则:应用程序规则->%ProgramFiles%文件设置->%ProgramFiles%\*.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2013-01-26 17:45:02    底层写磁盘操作      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
操作磁盘:D:
触发规则:所有程序规则->*

vm001

hddu 发表于 2013-1-26 22:42
2013-01-26 17:40:16    运行应用程序      操作:允许
进程路径:F:\virus\我的照片[2]\我的照片\我的照片\ ...

别看动作记录了，看63楼现场表演吧，哈哈哈....