流氓软件的巅峰之作，超小体积，请勿实机测试，本人刚刚重新安装系统

小仙路过

刚进入下载时被mcafee报毒了

y576926046

game9688 发表于 2013-10-11 12:39
我在WM机里运行后没发现他有安装软年,WM机里装有COMODO 并且允许这个程序连网了

会在你的D盘下载一个 叫做 update.exe的文件

http://fireeye.ijinshan.com/anal ... ec4aabe7&type=1


就是这个文件疯狂的下载并且静默安装软件

http://fireeye.ijinshan.com/anal ... ea761c79&type=1

uni384284728

乃可以用好压，360和腾讯双引擎以前官方有绿色版的，现在没了，不过华军那边还是有下载的

倾恋三生

下载之后火绒2.0报安全，火绒+mse扫描都没问题，然后运行出现dnf辅助的一个工具，火绒和mse没有任何提示，十分钟后桌面上也没有其他东西，由于只有一个C盘，所以对于楼上们所说的D盘产生衍生物没有观察到

卡卡嘎嘎

什么什么，看看再说

jonshiwo

y576926046 发表于 2013-10-4 22:27
最操蛋的问题就在于，这个连发工具居然也是骗人的

我都进游戏了，鸟用都没有，想想就生气，绿盟连个举报 ...

用连发为什么不用多玩  盒子？   信多玩 得盒子       LOL 也有盒子

equalover

金山毒霸轻松查杀了。

hddu

2013-10-19 21:17:49    运行应用程序      操作:允许
进程路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\DNF多键连发辅助.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c copy/y/b .\date\skin.she+.\date\skin.dll .\date\ChaoRen.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-10-19 21:17:51    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\date\ChaoRen.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*.exe


2013-10-19 21:17:52    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\date\ChaoRen.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*.exe


2013-10-19 21:17:53    创建文件      操作:允许
进程路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\DNF多键连发辅助.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\01QZO1IV\update[1].exe
触发规则:所有程序规则->IE临时文件夹设置->*\Local Settings\Temporary Internet Files\*.exe


2013-10-19 21:17:54    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\date\ChaoRen.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*.exe


2013-10-19 21:17:58    创建文件      操作:允许
进程路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\DNF多键连发辅助.exe
文件路径:D:\update.exe
触发规则:应用程序规则->其它文件设置（二）->F:\*->D:\*.exe


2013-10-19 21:20:05    运行应用程序      操作:允许
进程路径:F:\virus\超人DNF多键连发辅助最新版\超人DNF多键连发辅助最新版\DNF多键连发辅助.exe
文件路径:D:\update.exe
触发规则:应用程序规则->程序->?:\*


2013-10-19 21:20:10    创建文件      操作:允许
进程路径:D:\update.exe
文件路径:D:\blsys.exe
触发规则:应用程序规则->其它文件设置（二）->D:\*->D:\*.exe


2013-10-19 21:20:13    创建文件      操作:允许
进程路径:D:\update.exe
文件路径:D:\play_2056_3218.exe
触发规则:应用程序规则->其它文件设置（二）->D:\*->D:\*.exe


2013-10-19 21:20:16    创建文件      操作:允许
进程路径:D:\update.exe
文件路径:D:\setup_2951-3218.exe
触发规则:应用程序规则->其它文件设置（二）->D:\*->D:\*.exe


2013-10-19 21:20:19    创建文件      操作:允许
进程路径:D:\update.exe
文件路径:D:\dianxin_silent[53].exe
触发规则:应用程序规则->其它文件设置（二）->D:\*->D:\*.exe


2013-10-19 21:20:25    运行应用程序      操作:允许
进程路径:D:\update.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:"d:\IEpage.vbs"
触发规则:所有程序规则->系统程序设置->%windir%\system32\*script.exe


2013-10-19 21:20:30    运行应用程序      操作:允许
进程路径:D:\dianxin_silent[53].exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\is-FH9I2.tmp\dianxin_silent[53].tmp
命令行:/SL5="$D01C8,723266,83456,d:\dianxin_silent[53].exe"
触发规则:所有程序规则->其它程序设置->*\Temp\*


2013-10-19 21:20:40    创建文件      操作:允许
进程路径:D:\blsys.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDEXCZMF\lb_bosom_5[1].exe
触发规则:所有程序规则->IE临时文件夹设置->*\Local Settings\Temporary Internet Files\*.exe


2013-10-19 21:20:53    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\is-FH9I2.tmp\dianxin_silent[53].tmp
文件路径:C:\Documents and Settings\Administrator\Application Data\DianXin
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*


2013-10-19 21:20:58    创建文件      操作:阻止
进程路径:D:\play_2056_3218.exe
文件路径:C:\Program Files\playnbx\
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\


2013-10-19 21:21:02    创建文件      操作:阻止
进程路径:D:\setup_2951-3218.exe
文件路径:C:\Program Files\Yyfm\20131019
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*\uninstall.exe->%ProgramFiles%\*\*


2013-10-19 21:21:08    创建文件      操作:允许
进程路径:D:\blsys.exe
文件路径:D:\lb_bosom_5.exe
触发规则:应用程序规则->其它文件设置（二）->D:\*->D:\*.exe


2013-10-19 21:21:11    创建注册表值      操作:阻止
进程路径:D:\blsys.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
注册表名称:b
触发规则:所有程序规则->自动运行->*\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU


2013-10-19 21:21:11    修改注册表内容      操作:阻止
进程路径:D:\blsys.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
注册表名称:MRUList
更改后:ba
触发规则:所有程序规则->自动运行->*\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU


2013-10-19 21:21:22    创建文件      操作:阻止
进程路径:D:\lb_bosom_5.exe
文件路径:C:\Program Files\aixinwen
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2013-10-19 21:21:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.ttx123.cn/?u=segema
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main


2013-10-19 21:21:51    运行应用程序      操作:允许
进程路径:D:\blsys.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/cfor /l %a in (0,0,0) do if exist "d:\\blsys.exe" (del/a/f "d:\\blsys.exe") else exit
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

thinkind

楼主用QQ杀毒，那个只会模仿的家伙杀毒根本不靠谱

yt5567

实际测试没问题，只是要求对外联网