a variant of Win32/Xorer

显示全部楼层 · 发表于 2007-12-28 10:01:29

2007-12-28 09:22:07 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Setup.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2007-12-28 09:22:11 結束/建立程序    操作:封鎖
程序路徑:D:\Setup.exe
目標程序:C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
觸發規則:所有程序規則->*

結束 PC Tools Firewall 的進程

2007-12-28 09:22:16 刪除登錄檔    操作:封鎖
程序路徑:D:\Setup.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

刪除啟動項

2007-12-28 09:22:20 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo ok
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:22:27 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:22:29 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:22:31 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:23:08 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\cacls.exe
檔案路徑:C:\WINDOWS\system32\Com\comadmin.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-28 09:23:14 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:23:18 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:23:21 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:23:24 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:23:28 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\ntfsus.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:23:31 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:23:34 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\ntfsus.exe
觸發規則:所有程序規則->*

2007-12-28 09:23:37 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:23:40 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

2007-12-28 09:23:42 建立登錄檔值    操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2007-12-28 09:23:44 安裝服務或驅動    操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->*

2007-12-28 09:23:45 建立登錄檔值    操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:ImagePath
登錄檔數值:\??\C:\NetApi00.sys
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2007-12-28 09:23:47 載入驅動程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
裝置名稱:NetApi00
觸發規則:所有程序規則->*

2007-12-28 09:23:48 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

2007-12-28 09:23:49 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:23:54 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-28 09:23:57 安裝整體掛鉤    操作:封鎖
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->*

2007-12-28 09:24:04 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c del /F /Q "C:\WINDOWS\system32\ntfsus.exe"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:24:06 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:24:08 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-28 09:24:13 執行應用程序    操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*

2007-12-28 09:24:16 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:24:18 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->*

2007-12-28 09:24:22 刪除登錄檔    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2007-12-28 09:24:28 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c echo ok
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:24:34 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:24:37 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:24:39 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:24:43 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\cacls.exe
檔案路徑:C:\WINDOWS\system32\Com\comadmin.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-28 09:24:48 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:24:50 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-28 09:25:07 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Everyone:F
觸發規則:所有程序規則->*

2007-12-28 09:25:12 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:25:16 修改檔案    操作:允許
程序路徑:C:\WINDOWS\system32\cacls.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:25:26 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\ntfsus.exe"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:25:37 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\ntfsus.exe
觸發規則:所有程序規則->*

2007-12-28 09:25:39 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:25:40 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

2007-12-28 09:25:42 載入驅動程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
裝置名稱:NetApi00
觸發規則:所有程序規則->*

2007-12-28 09:25:44 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys

2007-12-28 09:25:46 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:25:54 安裝整體掛鉤    操作:封鎖
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->*

2007-12-28 09:25:59 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c del /F /Q "C:\WINDOWS\system32\ntfsus.exe"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:26:02 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:26:04 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:26:19 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*

2007-12-28 09:26:21 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2007-12-28 09:26:27 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\LSASS.EXE^|C:\pagefile.pif"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:26:29 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\LSASS.EXE|C:\pagefile.pif
觸發規則:所有程序規則->*

2007-12-28 09:26:30 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:C:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-28 09:26:31 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2007-12-28 09:26:34 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\LSASS.EXE^|D:\pagefile.pif"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:26:35 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\LSASS.EXE|D:\pagefile.pif
觸發規則:所有程序規則->*

2007-12-28 09:26:37 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

U盤病毒行為

上面這一塊，從C~Z，每個都做一次

显示全部楼层 · 发表于 2007-12-28 10:02:06

2007-12-28 09:26:53 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->*

2007-12-28 09:26:56 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:27:03 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\dnsq.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:27:11 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:c:\program files\winrar\rar.exe
指令列:X "D:\Memory\Gibli\地海戰記\Tales_from_Earthsea.rar" "C:\WINDOWS\system32\com\bak\Tales_from_Earthsea.rar\" -r -inul -ibck -y
觸發規則:所有程序規則->*

開始利用rar.exe，感染壓縮檔內的文件

2007-12-28 09:27:18 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\Memory\saved files\SafeXP\SafeXPHelp-FR.htm
觸發規則:所有程序規則->全域設定_普通模式->*

開始感染 .htm 文件

2007-12-28 09:28:05 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 09:28:08 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\~^|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-28 09:28:10 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\~|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->*

2007-12-28 09:28:16 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:28:17 結束/建立程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
目標程序:C:\WINDOWS\system32\cmd.exe
觸發規則:所有程序規則->*

2007-12-28 09:28:59 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

開始感染 .exe 文件

上面這一塊，每個 .exe文件，各作一次，直到全部感染成功

2007-12-28 09:29:39 刪除檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\MSOCache\All Users\90A40404-6000-11D3-8CFE-0150048383C9\ZQ636001.CAB
觸發規則:所有程序規則->全域設定_普通模式->*

開始刪除 .cab 文件

2007-12-28 09:29:47 建立登錄檔值    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
登錄檔名稱:PendingFileRenameOperations
登錄檔數值:\??\D:\MSOCache\All Users\90A40404-6000-11D3-8CFE-0150048383C9\ZQ636001.CAB
觸發規則:所有程序規則->系統設定_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2007-12-28 09:30:31 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\software\Autoruns\autoruns.exe
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->*.EXE

開始感染 .exe 文件

2007-12-28 09:31:03 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\bak"
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->C:\WINDOWS\system32\cmd.exe

2007-12-28 09:31:08 修改登錄檔內容    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:ShowSuperHidden
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2007-12-28 09:31:15 修改登錄檔內容    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
登錄檔名稱:Type
登錄檔數值:radio
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

隱藏文件

2007-12-28 09:31:11 刪除登錄檔    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

2007-12-28 09:31:13 刪除登錄檔    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

刪除安全模式註冊表

2007-12-28 09:32:14 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*

開始 ping 百度

兩個進程，互相保護

显示全部楼层 · 发表于 2007-12-28 19:41:52

Starting the file scan:

Begin scan in 'E:\征途外挂.rar'
E:\征途外挂.rar
  [0] Archive type: RAR
  --> Õ÷Í¾Íâ¹Ò.exe
   [DETECTION] Contains detection pattern of the dropper DR/PSW.Folin.K
   [1] Archive type: RAR SFX (self extracting)
   --> Setup.exe
      [DETECTION] Contains detection pattern of the rootkit RKIT/Agent.QW
   [WARNING] The file was ignored!

显示全部楼层 · 发表于 2007-12-28 19:43:44

Rising20.24.42仍然未有反应！

[病毒样本] a variant of Win32/Xorer

本帖子中包含更多资源