收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 更新一只Kelihos
12
返回列表 发新帖
楼主: 275751198
 收起左侧

[可疑文件] 更新一只Kelihos

[复制链接]
欧阳宣
头像被屏蔽
发表于 2015-2-17 16:25:58 | 显示全部楼层
z紫f风l铃 发表于 2015-2-17 15:26
Norton扫描安全

sonar可以干掉了
回复

举报

paul_guo
发表于 2015-2-17 21:31:52 | 显示全部楼层
双击费尔云鉴定杀
回复

举报

迷你灿烂
发表于 2015-2-18 09:16:52 | 显示全部楼层
360无压力!
回复

举报

lifan88
发表于 2015-2-19 23:32:01 | 显示全部楼层
2221000789 发表于 2015-2-17 15:10
运行后写启动项,然后驱动加载。
暂时没有行为了,等待一段时间看看会不会有其它行为启动.   可以直接结束 ...

2015-2-19 23:19:14    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
命令行: "C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe"
规则: [应用程序]c:\windows\explorer.exe

2015-2-19 23:19:36    读文件 (3)    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2015-2-19 23:19:38    读文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:40    设置文件隐藏属性    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:41    读文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:42    创建文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\tmp.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:44    读文件 (2)    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\tmp.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:45    删除文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\Documents and Settings\Administrator\桌面\tmp.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015-2-19 23:19:50    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\DefaultCompressedRecord
值: c8 80 f9 7f 73 07 44 32 c0 76 5b 1e 22 27 1d 6c c4 15 a0 7c 58 be 89 6b a6 ce a3 a5 73 5d d7 27 79 05 82 7e 7d 04 36 2a dd ae 19 bd cc 4a eb 5c 56 89 77 2b bb 22 5f c0 ed 44 71 83 21 ed 10 8e df 24 9f 5d 0f ba 96 7b 24 be ab 28 d9 99 d6 3b 70 86 60 ec a6 67 7f 87 3e 8b 52 9a ae 58 d8 b2 63 af 96 6c a3 77
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\*

2015-2-19 23:19:52    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CrashReportSaver
值: C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2015-2-19 23:19:54    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\IconChecker
值: C:\Documents and Settings\Administrator\桌面\sdfbfhj(1).exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015-2-19 23:19:57    创建文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\WINDOWS\system32\Packet.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2015-2-19 23:19:59    创建文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\WINDOWS\system32\wpcap.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2015-2-19 23:20:03    创建文件    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: C:\WINDOWS\system32\drivers\npf.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-2-19 23:20:31    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: c:\windows\system32\wpcap.dll
规则: [应用程序]*

2015-2-19 23:20:36    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: c:\windows\system32\packet.dll
规则: [应用程序]*

2015-2-19 23:21:02    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: c:\windows\system32\npptools.dll
规则: [应用程序]*

2015-2-19 23:21:03    安装驱动程序或服务    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: system32\drivers\NPF.sys
规则: [应用程序]*

2015-2-19 23:21:04    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2015-2-19 23:21:05    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2015-2-19 23:21:06    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\ImagePath
值: system32\drivers\NPF.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2015-2-19 23:21:31    加载驱动程序 (13)    阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\npf.sys
规则: [应用程序]c:\windows\system32\services.exe

2015-2-19 23:21:40    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1031] ->  [31.202.176.213 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:42    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1032] ->  [178.165.11.214 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:44    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1033] ->  [180.176.129.214 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:48    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1034] ->  [188.230.63.216 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:49    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1035] ->  [110.132.228.216 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:50    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1037] ->  [127.0.0.1 : 1036]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:21:56    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1039] ->  [175.183.51.88 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:22:32    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1040] ->  [176.37.244.88 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:22:33    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1041] ->  [77.122.143.89 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:22:36    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1042] ->  [178.150.154.89 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-2-19 23:22:39    访问网络    允许
进程: c:\documents and settings\administrator\桌面\sdfbfhj(1).exe
目标: TCP [本机 : 1045] ->  [127.0.0.1 : 1044]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

具体行为。。
PS:
1,衍生物的签名全部有效
2,对驱动非常执着
3,大部分IP失效,小部分连接上,但是很快断了
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-29 14:39 , Processed in 0.094150 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表