查看: 6011|回复: 47
收起左侧

[可疑文件] VT Detection ratio: 0 / 47 2948071.exe 注入IE,然后……更新

[复制链接]
墨家小子
发表于 2013-6-6 22:55:17 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2013-6-7 11:01 编辑









https://www.virustotal.com/en/fi ... nalysis/1370530155/


win7 X32 双击  注入IE 完成一系列高难度动作























本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
hddu + 1 差点怒骂“小子”

查看全部评分

消停
头像被屏蔽
发表于 2013-6-7 10:33:33 | 显示全部楼层
过诺顿,删除自身所在文件夹下的所有文件,并把该文件夹修改为系统属性,无法访问,右键管理员也打不开,释放衍生物添加开机启动项,如此邪恶诺顿还是放过了!无语!
hddu
发表于 2013-6-7 19:42:45 | 显示全部楼层
2013-06-07 19:31:48    运行应用程序      操作:允许
进程路径:F:\virus\2948071\2948071.exe
文件路径:C:\WINDOWS\system32\wuauclt.exe
触发规则:应用程序规则->程序->?:\*


2013-06-07 19:31:49    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*

liyangfr
发表于 2013-6-6 23:00:52 | 显示全部楼层
卡巴不报。不高兴。
fireold
发表于 2013-6-7 06:19:58 | 显示全部楼层
G Data
*** Process ***

Process: 484
File name: 2948071.exe
Path: c:\users\alan\downloads\2948071\2948071.exe

Publisher: Unknown publisher
Creation date: 06/06/13 14:48:02
Modification date: 06/06/13 22:17:48

Started by: 2948071.exe
Publisher: Unknown publisher


*** Actions ***

A packer was run on the program file, possibly to conceal malicious content.
The program was modified in memory.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\alan\Downloads\2948071\2948071.exe

The following registry entries were deleted:


YGLRKIfgcnIuJ+diYnAqdIJCJygmBrdygnKCYmJwLCcoJygmBrli0SgLnHKCcoJiYnD3cnJycmJicLqSYVpjtnKSYVpjtnJiYnCOcnIAAA
Rules version: 4.1.2
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 30732

"C:\Users\alan\Downloads\2948071\2948071.exe"
"C:\Users\alan\Downloads\2948071\2948071.exe"
墨家小子
 楼主| 发表于 2013-6-7 10:40:31 | 显示全部楼层
消停 发表于 2013-6-7 10:33
过诺顿,删除自身所在文件夹下的所有文件,并把该文件夹修改为系统属性,无法访问,右键管理员也打不开,释 ...

我去 这么好玩 我再试试
zdlzp
发表于 2013-6-7 10:41:47 | 显示全部楼层
火绒哑火,上报。。。
darkwolf_99
发表于 2013-6-7 10:43:03 | 显示全部楼层

喜欢那个鸭蛋

x64里崩溃的说,应该是不支持,也没有消兄说的现象
墨家小子
 楼主| 发表于 2013-6-7 10:43:13 | 显示全部楼层
zdlzp 发表于 2013-6-7 10:41
火绒哑火,上报。。。

不会吧,你再试试,这一只很普通的啊
zdlzp
发表于 2013-6-7 10:45:54 | 显示全部楼层
墨家小子 发表于 2013-6-7 10:43
不会吧,你再试试,这一只很普通的啊

又试了下,的确不认识
墨家小子
 楼主| 发表于 2013-6-7 10:54:18 | 显示全部楼层
darkwolf_99 发表于 2013-6-7 10:43
喜欢那个鸭蛋

x64里崩溃的说,应该是不支持,也没有消兄说的现象

很好玩 这个,消停不说真是错过了,等我贴图
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:40 , Processed in 0.121073 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表