半夜来一发，高级一些的

Qutianshang

连接 http://pan.baidu.com/s/1jGBRNXs  密码123

楼下是其自动下载的敲竹杠样本

zhou0197

Qutianshang 发表于 2014-6-14 00:43
难道是后来下载的

就是这个！



一看作者HZH我就知道咋回事了…………

传说中的用命名管道加开机密码…………

还是上PE吧，破了密码恐怕还有很多事情要做呢！

真小读者

饭@avast

Filename: 战神辅助.exe
Threat name: SONAR.Heuristic.120
Full Path: Not Available

____________________________

Details
Very Few Users,  Very New,  Risk High

Origin
Downloaded from
Unknown

Activity
Actions performed: 4

____________________________


On computers as of 2014-6-13 at 23:23:30
Last Used 2014-6-13 at 23:23:30
Startup Item No
Launched Yes

____________________________


Very Few Users
Fewer than 5 users in the Norton Community have used this file.

Very New
This file was released less than 1 week  ago.

High
This file risk is high.

SONAR Protection monitors for suspicious program activity on your computer.


____________________________


Source: External Media

Source File:
360zip.exe

File Created:
战神辅助.exe


____________________________

File Actions

File: c:\documents and settings\avt\桌面\test\战神辅助\战神辅助.exe
Removed
____________________________

Registry Actions

Registry change: HKEY_USERS\S-1-5-21-583907252-688789844-1060284298-1003\Software\Microsoft\Internet Explorer\Main->Start Page:about:blank
Repaired
____________________________

System Settings Actions

Event: Process start (Performed by c:\documents and settings\avt\桌面\test\战神辅助\战神辅助.exe, PID:3104)
No action taken
Event: Process start: c:\documents and settings\avt\桌面\test\战神辅助\战神辅助.exe, PID:3104 (Performed by c:\documents and settings\avt\桌面\test\战神辅助\战神辅助.exe, PID:3104)
No action taken
____________________________


File Thumbprint - SHA:
Not available
File Thumbprint - MD5:
Not available

XywCloud

这娃图标配个美女图片。。。
bav启发杀
费尔扫描杀

Qutianshang

真小读者 发表于 2014-6-13 23:23

这个中了怎么杀？

Qutianshang

XywCloud 发表于 2014-6-13 23:25
这娃图标配个美女图片。。。
bav启发杀
费尔扫描杀

美女图标有人点

zhou0197

2014-6-13 23:41:48    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
命令行: "C:\Documents and Settings\zhou\桌面\战神辅助\战神辅助.exe"
规则: [应用程序]*

2014-6-13 23:41:57    修改注册表值    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2345.com/?ktt659189
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2014-6-13 23:42:03    创建注册表项    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2014-6-13 23:42:06    创建注册表项    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2014-6-13 23:42:09    创建注册表项    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2014-6-13 23:42:12    修改注册表值    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel\HomePage
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2014-6-13 23:42:15    修改注册表值    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2345.com/?ktt659189
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2014-6-13 23:42:20    修改注册表值    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel\HomePage
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2014-6-13 23:42:20    修改注册表值    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2345.com/?ktt659189
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2014-6-13 23:42:20    创建文件    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: C:\WINDOWS\system32\loveML.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2014-6-13 23:42:21    安装驱动程序或服务    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: C:\WINDOWS\system32\\loveML.sys
规则: [应用程序]*

2014-6-13 23:42:21    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\loveML
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2014-6-13 23:42:21    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\loveML\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2014-6-13 23:42:21    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\loveML\ImagePath
值: \??\C:\WINDOWS\system32\loveML.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2014-6-13 23:42:22    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\loveml.sys
规则: [应用程序]c:\windows\system32\services.exe

2014-6-13 23:42:23    创建新进程    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /im DNF.exe.manifest
规则: [应用程序]*

2014-6-13 23:42:23    底层键盘操作    允许
进程: c:\documents and settings\zhou\桌面\战神辅助\战神辅助.exe
规则: [应用程序]*

2014-6-13 23:42:24    创建新进程    允许
进程: c:\windows\system32\taskkill.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*


盗号木马？？

Qutianshang

zhou0197 发表于 2014-6-13 23:43
2014-6-13 23:41:48    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and sett ...

盗号，这个有些高级啊

XywCloud

Qutianshang 发表于 2014-6-13 23:34
美女图标有人点

图标不清晰，差评！

zhou0197

Qutianshang 发表于 2014-6-13 23:46
盗号，这个有些高级啊

不确定，目标可能是DNF，可能是的…………上来就加驱动…………吓死人的节奏，一般的外{过}{滤}挂恐怕不敢这么来吧…………