疑似敲竹杠木马

显示全部楼层 · 发表于 2014-5-18 19:06:39

peiyaojian 发表于 2014-5-18 19:05
使得
咋啦？

Bonjour,

New malicious software was found in the attached file.
QQ##(2014#).exe_ - Trojan-PSW.Win32.QQPass.cbxi
Its detection will be included in the next update.

Meilleures salutations, NewVirus

请你更新病毒库

显示全部楼层 · 发表于 2014-5-18 19:09:00

本帖最后由 peiyaojian 于 2014-5-18 19:10 编辑

dongwenqi 发表于 2014-5-18 19:06
Bonjour,

New malicious software was found in the attached file.

下午刚更新的？
刚刚更新还是miss

显示全部楼层 · 发表于 2014-5-18 19:10:39

peiyaojian 发表于 2014-5-18 19:09
下午刚更新的？
刚刚更新还是miss

那就等了

显示全部楼层 · 发表于 2014-5-18 20:45:44

To BD

[Ticket ID:201405181000134]

显示全部楼层 · 发表于 2014-5-18 20:56:38

2014-5-18 20:55:31 c:\windows\explorer.exe 创建新进程 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 允许 [应用程序]c:\windows\explorer.exe 命令行: "C:\Documents and Settings\Administrator\桌面\QQ大盗(2014版)\QQ大盗(2014版)\QQ大盗(2014版).exe"
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 加载动态链接库 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\krnln.fnr 允许 [应用程序]* -> [动态链接库]*\*.fnr
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 读文件 E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll 阻止 [文件组]隐藏磁盘 -> [文件]e:\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 修改文件 \Device\NamedPipe\{A2IPC}a2_ipc 阻止 [文件组]命令管道 -> [文件]\device\namedpipe\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建文件 C:\WINDOWS\SkinH_EL.dll 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 读文件 E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll 阻止 [文件组]隐藏磁盘 -> [文件]e:\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建文件夹 C:\WINDOWS\ME 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 读文件 E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll 阻止 [文件组]隐藏磁盘 -> [文件]e:\*
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建新进程 c:\windows\system32\net1.exe 阻止 [应用程序]* -> [子应用程序]『禁运』黑名单命令行: net1 user "Administrator" "a2014sd"
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建新进程 c:\windows\system32\net1.exe 阻止 [应用程序]* -> [子应用程序]『禁运』黑名单命令行: net1 user "Administrator" /FULLNAME:"想知道密码加QQ1781137494"
2014-5-18 20:55:34 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建文件夹 C:\Windows\System32\oobe\info 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:35 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 删除文件 C:\Documents and Settings\All Users\Application Data\Microsoft\User Account Pictures\Administrator.bmp 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:35 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 修改文件 C:\Documents and Settings\All Users\Application Data\Microsoft\User Account Pictures\Administrator.bmp 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:35 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 创建文件 C:\WINDOWS\system32\Aver.ico 阻止 [文件组]只读磁盘 -> [文件]c:\*
2014-5-18 20:55:35 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 注销、关机或重新启动系统阻止 [应用程序]*
2014-5-18 20:55:35 c:\documents and settings\administrator\桌面\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe 读文件 E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll 阻止 [文件组]隐藏磁盘 -> [文件]e:\*
MD的日志很明确。

显示全部楼层 · 发表于 2014-5-19 01:32:21

火绒

推荐设置直接被敲

严格防护有拦截，结束进程可以，没被敲，再次双击又没反应直接被敲

如果是选择阻止的话一样被敲。。。

话说火绒有这么弱吗

本来还想装回WIN8.1用火绒+ESS的，现在想想还是算了。。。

显示全部楼层 · 发表于 2014-5-19 01:39:09

swq0503 发表于 2014-5-18 16:38
dr.web
没给我防住一次竹杠

加个HIPS吧
OP JP SSF(SSP) 都可以（对付流氓什么的很给力也很流畅）
我现在是蜘蛛+JP感觉很不错

显示全部楼层 · 发表于 2014-5-19 05:32:16

勇者无敌发表于 2014-5-19 01:39
加个HIPS吧
OP JP SSF(SSP) 都可以（对付流氓什么的很给力也很流畅）
我现在是蜘蛛+JP感觉很不错

JP全称是什么？

显示全部楼层 · 发表于 2014-5-19 08:38:11

文件名: qq大盗(2014版).exe
威胁名称: SONAR.Heuristic.120
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 6

____________________________

在电脑上的创建时间
2014-5-19 ( 8:36:21 )

上次使用时间
2014-5-19 ( 8:36:21 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
qq大盗(2014版).exe

____________________________

文件操作

文件: c:\Users\administrator\AppData\LocalLow\SogouPY\components\ componentconfig.ini 已删除
受感染文件: f:\norton样本\临时收集\新建文件夹\qq大盗(2014版)\qq大盗(2014版)\ qq大盗(2014版).exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ SogouInput.user->SogouComponentFirstLoad:1400459767 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\新建文件夹\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe, PID:3132) 未采取操作
事件: PE 文件创建: c:\windows\ skinh_el.dll (执行者 f:\norton样本\临时收集\新建文件夹\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe, PID:3132) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\新建文件夹\qq大盗(2014版)\qq大盗(2014版)\ qq大盗(2014版).exe, PID:3132 (执行者 f:\norton样本\临时收集\新建文件夹\qq大盗(2014版)\qq大盗(2014版)\qq大盗(2014版).exe, PID:3132) 未采取操作
____________________________

文件指纹 - SHA:
660dbd9a366055c167ddc394feabccbdfb868468166d5497666248bf7b1270c3
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-5-19 11:55:39

swq0503 发表于 2014-5-19 05:32
JP全称是什么？

打错了，是PF

Private Firewall

[可疑文件] 疑似敲竹杠木马

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块