15年的第八枚样本，是一个Rootkits，有胆量的双击测毒吧，不过后果自负

显示全部楼层 · 发表于 2015-1-3 12:52:36

驭龙发表于 2015-1-3 12:51
因为QVM是监控文件执行的，哈

在哪里关？

显示全部楼层 · 发表于 2015-1-3 12:54:19

Symantec. 发表于 2015-1-3 12:52
在哪里关？

何必非玩这个样本？换一个玩玩吧，哈，闪人啦

显示全部楼层 · 发表于 2015-1-3 12:58:32

看来诺顿还有有点用，就是扫描太废了。

显示全部楼层 · 发表于 2015-1-3 13:21:31

OA和vse可以完美防御，在多个位置释放dll

显示全部楼层 · 发表于 2015-1-3 14:02:43

Symantec. 发表于 2015-1-3 12:14
http://habo.qq.com/file/showdetail?md5=7c73bbaa731ba4a784aea1663caacb2f&pk=ADQGYl1pB2YIOw==送给你

腾讯献丑了

显示全部楼层 · 发表于 2015-1-3 14:36:47

245867683 发表于 2015-1-3 12:58
看来诺顿还有有点用，就是扫描太废了。

Sonar被你吃了？

显示全部楼层 · 发表于 2015-1-3 15:09:03

火绒扫描杀 Trojan/Hider

显示全部楼层 · 发表于 2015-1-3 15:16:35

2015-1-3 14:56:03 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\加驱\user.exe
命令行: "D:\Documents and Settings\killleer\桌面\加驱\user.exe"
规则: [应用程序]d:\windows\explorer.exe

2015-1-3 14:56:04 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\桌面\加驱\user.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-1-3 14:56:13 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut1.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:14 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut1.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:16 修改文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut1.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:19 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\slcsqga
规则: [文件]*

2015-1-3 14:56:20 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut1.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:23 删除文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut1.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:24 删除文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\slcsqga
规则: [文件]*

2015-1-3 14:56:26 创建文件夹允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp
规则: [文件]*

2015-1-3 14:56:28 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\桌面\加驱\user.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-1-3 14:56:30 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:31 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:32 修改文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:34 读文件 (2) 允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:37 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:56:38 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:56:39 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:40 删除文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\aut2.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2015-1-3 14:56:41 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:56:43 创建文件夹允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\CLIENT
规则: [文件]*

2015-1-3 14:56:45 读文件 (2) 允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:56:47 加载动态链接库允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: d:\documents and settings\killleer\local settings\temp\temp\hidep.dll
规则: [应用程序]*

2015-1-3 14:56:50 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\WINDOWS\system32\hide.sys
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.sys

2015-1-3 14:56:51 安装驱动程序或服务允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\WINDOWS\system32\hide.sys
规则: [应用程序]*

2015-1-3 14:56:54 创建注册表项允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2015-1-3 14:56:56 修改注册表值允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2015-1-3 14:56:57 修改注册表值允许
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf\ImagePath
值: \??\D:\WINDOWS\system32\hide.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2015-1-3 14:56:59 加载驱动程序阻止
进程: d:\windows\system32\services.exe
目标: d:\windows\system32\hide.sys
规则: [应用程序]d:\windows\system32\services.exe

2015-1-3 14:57:02 删除文件阻止
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\WINDOWS\system32\hide.sys
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.sys

2015-1-3 14:57:04 读文件 (2) 允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:57:06 加载动态链接库允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: d:\documents and settings\killleer\local settings\temp\temp\hidep.dll
规则: [应用程序]*

2015-1-3 14:57:24 访问网络允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: TCP [本机 : 1045] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 14:57:29 访问网络允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: TCP [本机 : 1046] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 14:57:31 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\8LQF8TCH\md5[1].txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

2015-1-3 14:57:33 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\8LQF8TCH\md5[1].txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

2015-1-3 14:57:38 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\filemd5.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:57:39 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\temp\filemd5.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 14:57:43 访问网络允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: TCP [本机 : 1047] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 14:58:25 访问网络允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: TCP [本机 : 1048] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 15:00:08 访问网络允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: TCP [本机 : 1052] ->  [122.228.236.152 : 8899]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 15:00:17 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\OLYL21S9\panduan[1].txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

2015-1-3 15:00:18 读文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temporary Internet Files\Content.IE5\OLYL21S9\panduan[1].txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

2015-1-3 15:00:30 创建文件允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\ipaddress.txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

2015-1-3 15:00:36 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\加驱\user.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\ipaddress.txt
规则: [文件组]所有执行文件 -> [文件]*; *.txt

被他看出问题了....

显示全部楼层 · 发表于 2015-1-3 15:18:57

lifan88 发表于 2015-1-3 15:16
2015-1-3 14:56:03 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and setti ...

看来这家伙的衍生物还是蛮多的，哈

显示全部楼层 · 发表于 2015-1-3 15:21:11

本帖最后由 liulangzhecgr 于 2015-1-3 15:25 编辑

2015-1-3 15:03:20 创建新进程允许
进程: c:\windows\explorer.exe
目标: f:\downloads\测试6\user\user.exe
命令行: "F:\downloads\测试6\user\user.exe"
规则: [应用程序]*

2015-1-3 15:03:26 修改文件允许
进程: f:\downloads\测试6\user\user.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2015-1-3 15:04:08 修改文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\temp\hidep.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 15:05:06 创建文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\WINDOWS\system32\hide.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-1-3 15:05:23 安装驱动程序或服务允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\WINDOWS\system32\hide.sys
规则: [应用程序]*

2015-1-3 15:05:32 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf
规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2015-1-3 15:07:03 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf\Start
值: 0x00000003(3)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2015-1-3 15:08:15 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ialdnwxf\ImagePath
值: \??\C:\WINDOWS\system32\hide.sys
规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2015-1-3 15:08:22 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\hide.sys
规则: [应用程序]c:\windows\system32\services.exe

2015-1-3 15:08:45 删除文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\WINDOWS\system32\hide.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-1-3 15:10:51 修改注册表值允许
进程: f:\downloads\测试6\user\user.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline
值: 0x00000000(0)
规则: [注册表]*

2015-1-3 15:11:13 修改文件允许
进程: f:\downloads\测试6\user\user.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2015-1-3 15:11:17 修改文件允许
进程: f:\downloads\测试6\user\user.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2015-1-3 15:14:58 访问网络允许
进程: f:\downloads\测试6\user\user.exe
目标: TCP [本机 : 3745] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 15:15:19 创建文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8DD1OOIL\md5[1].txt
规则: [文件]*

2015-1-3 15:15:32 创建文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\temp\filemd5.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 15:15:45 访问网络允许
进程: f:\downloads\测试6\user\user.exe
目标: TCP [本机 : 3749] ->  [122.228.236.211 : 5186]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 15:16:07 修改文件 (4) 允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\temp\filemd5.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2015-1-3 15:16:14 访问网络允许
进程: f:\downloads\测试6\user\user.exe
目标: TCP [本机 : 3756] ->  [122.228.236.152 : 8899]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-1-3 15:16:27 创建文件允许
进程: f:\downloads\测试6\user\user.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\ipaddress.txt
规则: [文件]*

这是中毒的表现？！

2015-1-3 15:20:26 创建文件夹 (2) 阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Documents and Settings\All Users\Application Data\Tencent\TXPltSafe
规则: [文件]*

2015-1-3 15:21:12 底层磁盘写操作 (2) 阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*

2015-1-3 15:21:16 底层磁盘写操作 (2) 阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: \Device\Ide\IdePort1
规则: [应用程序]*

[病毒样本] 15年的第八枚样本，是一个Rootkits，有胆量的双击测毒吧，不过后果自负

本帖子中包含更多资源

浏览过的版块