敲诈者病毒

显示全部楼层 · 发表于 2015-1-23 14:58:48

2015-01-23 13:30:12 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\relabel\relabel.scr
文件路径:C:\Program Files\Office 2007 SP3\Office12\WINWORD.EXE
命令行: /n "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\relabel.rtf"
触发规则:应用程序规则->程序->?:\*

2015-01-23 13:35:57 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\relabel\relabel.scr
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2015-01-23 13:35:58 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\windows\Jobs\mzyssrb.job
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2015-01-23 13:35:58 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\windows\Jobs\mzyssrb.job
触发规则:应用程序规则->WINDOWS文件设置（二）->%windir%\system32\svchost.exe->%windir%\*

2015-01-23 13:35:58 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:gxqxmzk
触发规则:应用程序规则->TEMP临时目录（二）->*\Temp\*->*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-01-23 13:35:59 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\windows\Jobs\mzyssrb.job
触发规则:应用程序规则->WINDOWS文件设置（二）->%windir%\system32\svchost.exe->%windir%\*

2015-01-23 13:36:06 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2015-01-23 13:36:08 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2015-01-23 13:36:40 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lemxxaca.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:36:40 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:D:\$Recycle.Bin\S-1-5-21-3867644809-787032850-3221016473-1001\lsxwuhca.tmp
触发规则:应用程序规则->回收站->?:\*->?:\*RECYCLE*\*

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\arswp3\backup\1_20141111_153856.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\360驱动大师目录\驱动备份目录\Intel(R) 8 SeriesC220 Series SMBus Controller - 8C22_9.4.0.1011_6.2_x64.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\360驱动大师目录\驱动备份目录\Intel(R) 8 SeriesC220 Series SMBus Controller - 8C22_9.4.0.1011_5.1_x86.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\EQSysSecure.rar
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->E:\*.rar

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\hfwjjycsx.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\WinShred_V1.0_20141208.rar
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->E:\*.rar

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\winrar.exe-patch.rar
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->E:\*.rar

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\EQView_v1.15.rar
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->E:\*.rar

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\DNSBench.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\20061110104129944.rar
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->E:\*.rar

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\360驱动大师目录\驱动备份目录\英特尔(R) 显示器音频_6.16.0.3129_6.2_x64.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\360驱动大师目录\驱动备份目录\Realtek PCIe GBE Family Controller_8.24.1218.2013_6.2_x64.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

2015-01-23 13:36:40 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:E:\360驱动大师目录\驱动备份目录\Realtek PCIe GBE Family Controller_8.34.617.2014_6.2_x64.zip
触发规则:应用程序规则->其它文件设置(三）->D:\*->E:\*.zip

...............................
2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lmqvssba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\Program Files\Samsung\Kies3\Kies3Version.TXT.dpgzgim
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\leqprsba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lgdbtsba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\Program Files\WinRAR\UnrarSrc.TXT.dpgzgim
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lmgessba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\Program Files\kingsoft\kingsoft antivirus\update\kav\indexkcom_kvm2.txt.old.TXT.dpgzgim
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lmgessba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\Program Files\kingsoft\kingsoft antivirus\update\kav\indexkcom_kvm2.TXT.dpgzgim
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lsdcssba.tmp
触发规则:应用程序规则->Temp临时文件夹->?:\*->?:\DOCUME~1\*\Temp\*

2015-01-23 13:38:10 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1522046.exe
文件路径:C:\Program Files\kingsoft\kingsoft antivirus\ktool_update\kdownload\indexkcom_dubafix.TXT.dpgzgim
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\*

显示全部楼层 · 发表于 2015-1-24 09:36:47

MSE杀杀杀

显示全部楼层 · 发表于 2015-1-24 13:59:01

这不是那个敲诈比特币的敲竹杠吗？运行后加密全盘一百多种文件的那个？

显示全部楼层 · 发表于 2015-1-25 10:49:58

avast杀掉

显示全部楼层 · 发表于 2015-1-27 21:31:25

eset杀。。。。。。
我都还没点下载，eset就提示了

显示全部楼层 · 发表于 2015-1-28 09:09:02

avast 杀而且是刚建立下载的时候

显示全部楼层 · 发表于 2015-1-28 14:15:11

AnonymousM 发表于 2015-1-24 13:59
这不是那个敲诈比特币的敲竹杠吗？运行后加密全盘一百多种文件的那个？

对就是那个

显示全部楼层 · 发表于 2015-1-28 15:17:30

rockson 发表于 2015-1-28 14:15
对就是那个

怪事啊，我看你好像也是放虚拟机里运行的。。。我大概是4天前在群里看到有人在分析这个，说是可能有反虚拟机和sleep的代码。然后我弄到样本，放虚拟机里打开，只有一个日记簿，一直没见到那个敲诈的界面。。怎么在你虚拟机里就能运行呢？

我还没用hips跑行为，就是单纯的双击

[病毒样本] 敲诈者病毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源