进来看看这个是不是AV终结者。。。。。

显示全部楼层 · 发表于 2007-12-28 00:22:16

分析看看这个是不是AV终结者。。。。。

显示全部楼层 · 发表于 2007-12-28 00:23:58

tubjsoe.exe - Win32/Delf.NDF 蠕虫

显示全部楼层 · 发表于 2007-12-28 00:52:26

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\vn.rar'
C:\Documents and Settings\Administrator\桌面\vn.rar
  [0] Archive type: RAR
  --> vn\tubjsoe.exe
   [DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-12-28 01:25:07

The requested object is INFECTED. The following viruses Worm.Win32.AutoRun.rx were found

显示全部楼层 · 发表于 2007-12-28 05:42:16

D:\下载文件夹\vn.rar ?RAR ?vn\tubjsoe.exe - Win32/Delf.NDF 蠕虫

显示全部楼层 · 发表于 2007-12-28 06:14:36

显示全部楼层 · 发表于 2007-12-28 08:19:19

C:\Documents and Settings\Administrator\桌面\vn.rar » RAR » vn\tubjsoe.exe - Win32/Delf.NDF worm

显示全部楼层 · 发表于 2007-12-28 08:40:53

特洛伊，已删除，mcafee。

显示全部楼层 · 发表于 2007-12-28 09:06:19

2007-12-28 08:43:39 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\tubjsoe.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2007-12-28 08:43:41 執行應用程序    操作:允許
程序路徑:D:\tubjsoe.exe
檔案路徑:C:\WINDOWS\explorer.exe
指令列:d:\
觸發規則:所有程序規則->系統程式_白名單->%windir%\explorer.exe

2007-12-28 08:43:46 建立檔案    操作:允許
程序路徑:D:\tubjsoe.exe
檔案路徑:C:\Program Files\Common Files\System\owupxei.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 08:43:49 建立檔案    操作:允許
程序路徑:D:\tubjsoe.exe
檔案路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

先來測試 owupxei.exe 的行為

2007-12-28 08:43:52 執行應用程序    操作:允許
程序路徑:D:\tubjsoe.exe
檔案路徑:C:\Program Files\Common Files\System\owupxei.exe
觸發規則:所有程序規則->*

2007-12-28 08:44:03 執行應用程序    操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop wscsvc
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-28 08:44:18 執行應用程序    操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop helpsvc
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-28 08:44:45 執行應用程序    操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop wuauserv
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-28 08:44:57 執行應用程序    操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:stop SharedAccess
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-28 08:44:08 建立登錄檔值操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項目->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*

開始 IFEO 映像劫持

2007-12-28 08:44:45 刪除登錄檔操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:AVP
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

刪除卡巴的啟動項

2007-12-28 08:45:08 建立檔案操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\meex.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 08:44:45 刪除登錄檔操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

2007-12-28 08:44:51 刪除登錄檔操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*

開始刪除安全模式的註冊表

2007-12-28 08:45:06 建立登錄檔值操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
登錄檔名稱:CheckedValue
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2007-12-28 08:45:12 建立登錄檔值操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
登錄檔名稱:NoDriveTypeAutoRun
觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies*

隱藏文件

2007-12-28 08:45:03 結束/建立程序操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
目標程序:C:\Program Files\Returnil\Rvsystem.exe
觸發規則:所有程序規則->*

結束影子的進程

2007-12-28 08:45:13 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\1.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 08:45:19 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\2.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 08:45:26 修改登錄檔內容    操作:封鎖
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:*
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2007-12-28 08:45:31 刪除檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\1.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 08:45:35 刪除檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\2.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

HIVE技術，添加啟動項

2007-12-28 08:45:17 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:C:\Program Files\aurn.inf
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-28 08:45:29 刪除檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:D:\tubjsoe.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 08:45:33 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:D:\tubjsoe.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 08:45:36 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\System\owupxei.exe
檔案路徑:D:\autorun.inf
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

U盤病毒行為

显示全部楼层 · 发表于 2007-12-28 09:06:47

再來測試 iqwfobe.exe

2007-12-28 09:11:37 執行應用程序    操作:允許
程序路徑:D:\tubjsoe.exe
檔案路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
觸發規則:所有程序規則->*

2007-12-28 09:11:42 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\WINDOWS\system32\verclsids.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-28 09:11:52 刪除檔案    操作:封鎖
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\WINDOWS\system32\verclsid.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

替換 verclsid.exe

2007-12-28 09:11:58 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\Program Files\3.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 09:11:59 建立檔案    操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\Program Files\4.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 09:12:01 修改登錄檔內容    操作:封鎖
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:*
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2007-12-28 09:12:03 刪除檔案    操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\Program Files\3.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

2007-12-28 09:12:03 刪除檔案    操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\Program Files\4.hiv
觸發規則:所有程序規則->白名單與黑名單->%SystemDrive%\*.hiv

HIVE技術，添加啟動項

2007-12-28 09:12:05 建立檔案操作:允許
程序路徑:C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
檔案路徑:C:\Program Files\bhpkndi.inf
觸發規則:所有程序規則->全域設定_普通模式->*

[ 本帖最后由 a256886572008 于 2007-12-28 09:16 编辑 ]

[病毒样本] 进来看看这个是不是AV终结者。。。。。

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块