收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 0 / 47 2948071.ex ...
12345
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[可疑文件] VT Detection ratio: 0 / 47 2948071.exe 注入IE,然后……更新

[复制链接]
墨家小子
 楼主| 发表于 2013-6-7 14:40:25 | 显示全部楼层
消停 发表于 2013-6-7 14:16
我没记错的话和这个样本的行为差不多!

http://bbs.kafan.cn/thread-1578305-1-1.html

你说的没错,一样的行为

































本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

真小读者
发表于 2013-6-7 16:03:09 | 显示全部楼层
无我灭境 发表于 2013-6-7 14:24
WIN7的UAC这么弱?不可能吧?是不是防御等级没调到最高

我用UAC都是默认设置。没有设置过最高。
回复

举报

yaoogle007
发表于 2013-6-7 16:17:25 | 显示全部楼层
消停 发表于 2013-6-7 10:33
过诺顿,删除自身所在文件夹下的所有文件,并把该文件夹修改为系统属性,无法访问,右键管理员也打不开,释 ...

诺顿的态度???
有些类型的样本就是不去处理!!!
回复

举报

消停
头像被屏蔽
发表于 2013-6-7 16:20:37 | 显示全部楼层
yaoogle007 发表于 2013-6-7 16:17
诺顿的态度???
有些类型的样本就是不去处理!!!

不是有些,是所有,现在样本上报系统故障,能在一周左右入库就算诺顿真的在乎我们这些用户了!
回复

举报

无我灭境
发表于 2013-6-7 16:43:50 | 显示全部楼层
真小读者 发表于 2013-6-7 16:03
我用UAC都是默认设置。没有设置过最高。

原来是这样,默认的UAC用来试毒还是有点勉强
回复

举报

hddu
发表于 2013-6-7 19:37:10 | 显示全部楼层
2013-06-07 19:30:11    运行应用程序      操作:允许
进程路径:F:\virus\2948071\2948071.exe
文件路径:C:\WINDOWS\system32\wuauclt.exe
触发规则:应用程序规则->程序->?:\*


2013-06-07 19:30:12    修改注册表内容      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2013-06-07 19:30:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:30:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*

回复

举报

hddu
发表于 2013-6-7 19:42:45 | 显示全部楼层
2013-06-07 19:31:48    运行应用程序      操作:允许
进程路径:F:\virus\2948071\2948071.exe
文件路径:C:\WINDOWS\system32\wuauclt.exe
触发规则:应用程序规则->程序->?:\*


2013-06-07 19:31:49    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe
注册表名称:Debugger
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:00    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:03    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:06    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:11    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\wuauclt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:12    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:15    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:30    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-06-07 19:32:33    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*

回复

举报

墨家小子
 楼主| 发表于 2013-6-7 19:51:46 | 显示全部楼层
hddu 发表于 2013-6-7 19:42
2013-06-07 19:31:48    运行应用程序      操作:允许
进程路径:F:\virus\2948071\2948071.exe
文件路径: ...

注入被拦截到啊

2013-06-07 19:31:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ActiveUpdate
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*
回复

举报

12345
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 17:08 , Processed in 0.096400 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表