第三批

显示全部楼层 · 发表于 2013-8-10 19:13:06

费尔 2X

显示全部楼层 · 发表于 2013-8-10 19:22:23

fzKU1Y.exe 过FS DG

显示全部楼层 · 发表于 2013-8-10 19:44:59

墨家小子发表于 2013-8-10 19:22
fzKU1Y.exe 过FS DG

你终于出现了

显示全部楼层 · 发表于 2013-8-10 19:52:15

哀酱俏佳人发表于 2013-8-10 19:44
你终于出现了

你这一批样本有一个锁屏的比较牛X

显示全部楼层 · 发表于 2013-8-10 20:00:43

卡巴斯基2013全灭

显示全部楼层 · 发表于 2013-8-10 20:46:06

墨家小子发表于 2013-8-10 19:52
你这一批样本有一个锁屏的比较牛X

我忘记在那个压缩包里了，的确是有一个锁屏的病毒

显示全部楼层 · 发表于 2013-8-10 20:57:57

显示全部楼层 · 发表于 2013-8-12 15:45:48

火绒无反应~

显示全部楼层 · 发表于 2013-8-12 17:57:24

文件名: fzku1y.exe
威胁名称: Trojan.Zbot
完整路径: f:\norton样本\诺顿排除\fzku1y.exe

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自 未知

活动
已执行的操作: 36

____________________________

在电脑上的创建时间 2013-8-12 ( 17:54:15 )
上次使用时间 2013-8-12 ( 17:55:04 )
启动项目否
已启动否

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

来源: 外部介质
源文件:
winrar.exe创建的文件:
fzku1y.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\ntos.exe需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\wsnpoem\audio.dll需要重新启动
文件: c:\windows\system32\wsnpoem\audio.dll需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\wsnpoem\video.dll需要重新启动
文件: c:\windows\system32\wsnpoem\video.dll需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\wsnpoem需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\sysproc64\sysproc32.sys需要重新启动
文件: c:\windows\system32\sysproc64\sysproc32.sys需要重新启动
文件: c:\users\administrator\appdata\local\virtualstore\windows\system32\sysproc64\sysproc86.sys需要重新启动
文件: c:\windows\system32\sysproc64\sysproc86.sys需要重新启动
文件: c:\windows\system32\ntos.exe需要重新启动
文件: c:\windows\system32\wsnpoem需要重新启动
受感染文件: f:\norton样本\诺顿排除\fzku1y.exe已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\Windows\system32\userinit.exe,需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run->userinit需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run->userinit需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Run->userinit需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run->userinit需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion->Win32需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}需要重新启动
____________________________

文件指纹 - SHA:
9b31f34258115b7452ed86dfc847926197c826fa648abdf941709edbc96c76e5
文件指纹 - MD5:
不可用

另外两个运行后都过了诺顿！

显示全部楼层 · 发表于 2013-8-22 20:10:57

好東西

感謝分享

[可疑文件] 第三批

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源