楼主: windows7爱好者
收起左侧

[病毒样本] 刚才被一个敲竹杠双击锁了机子

  [复制链接]
学雷锋做人
头像被屏蔽
发表于 2015-11-1 16:57:44 | 显示全部楼层
pal家族 发表于 2015-11-1 16:35
66666
可是为什么我运行很多次都见着有啥动作啊

不排除有其他原因
windows7爱好者
 楼主| 发表于 2015-11-2 20:55:28 | 显示全部楼层
学雷锋做人 发表于 2015-11-1 13:53
非广告,见四楼
http://bbs.kafan.cn/thread-1860828-1-1.html

感谢采用我的样本
天耀群星
头像被屏蔽
发表于 2015-11-3 19:26:25 | 显示全部楼层
这木马修改系统组策略设置、安全模式配置项。调用cmd命令运行net来修改账户。

2015/11/3 17:50:45    加载动态链接库    阻止
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: c:\windows\system32\samcli.dll
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe -> [动态链接库]c:\windows\system32\samcli.dll

2015/11/3 17:50:49    修改文件    允许
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: F:\1.exe
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [文件组]秒杀-根目录可执行

2015/11/3 17:50:50    加载动态链接库    允许
进程: f:\1.exe
目标: c:\windows\system32\srvcli.dll
规则: [应用程序组]待测试组-未知程序       ????? -> [动态链接库]c:\windows\system32\srvcli.dll

2015/11/3 17:50:50    修改注册表值    阻止并结束进程
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:50:50    创建文件    阻止
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: F:\2.MP3
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe -> [文件]f:\; 2.mp3

2015/11/3 17:39:01    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:09    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:09    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:09    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:15    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:16    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:16    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:16    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Interner Settings\Zones\3
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]f:\*.??? -> [注册表]HKEY_CURRENT_USER*

2015/11/3 17:39:18    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3.exe
值: F:\1.exe
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]f:\*.??? -> [注册表]HKEY_LOCAL_MACHINE*

2015/11/3 17:39:29    创建新进程    阻止并结束进程
进程: f:\1.exe
目标: c:\windows\system32\net.exe
命令行: net user administrator 10076230335.5
规则: [应用程序组]COM过滤、dll劫持过滤 二道滤网  ——— !! -> [子应用程序]%系统程序-绝对禁运《防被木马利用》 -> [应用程序]c:\windows\system32\net.exe


2015/11/3 17:55:53    删除注册表值    阻止并结束进程
进程: f:\1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [注册表组]绝对秒杀——安全模式等 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

笑引鬼影差点死
发表于 2015-12-26 22:31:38 | 显示全部楼层
我这种拿微软账户的人实机点敲竹杠还是没事------你有本事去微软要密码
xiaofeizei
头像被屏蔽
发表于 2015-12-26 23:13:23 | 显示全部楼层
230f4 发表于 2015-10-29 21:17
Thank you for contacting Bitdefender Customer Care.

This is an automated reply to confirm th ...

请问你这个是哪个在线扫描?
230f4
发表于 2015-12-26 23:15:17 | 显示全部楼层
xiaofeizei 发表于 2015-12-26 23:13
请问你这个是哪个在线扫描?


Virustotal

评分

参与人数 1人气 +1 收起 理由
xiaofeizei + 1 感谢解答: )

查看全部评分

230f4
发表于 2015-12-26 23:47:52 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
2501238377
发表于 2015-12-27 18:55:15 | 显示全部楼层

RE: 刚才被一个敲竹杠双击锁了机子


层主这个页面是哪里的?
我联系BD官方回复好慢啊,样本一周后才给我回复。我是直接发邮件带附件给他的。
层主怎么反馈的?^_^
230f4
发表于 2015-12-27 19:06:32 | 显示全部楼层
2501238377 发表于 2015-12-27 18:55
层主这个页面是哪里的?
我联系BD官方回复好慢啊,样本一周后才给我回复。我是直接发邮件带附件给他的。 ...

那是右键扫描窗口吧?

我是网页上报,连回复都没有
2501238377
发表于 2015-12-27 19:12:50 | 显示全部楼层

RE: 刚才被一个敲竹杠双击锁了机子

230f4 发表于 2015-12-27 19:06
那是右键扫描窗口吧?

我是网页上报,连回复都没有

刚刚看到你之前把邮件内容截图了=_=
而且时间跟样本帖子发的时间相差很小。-_-#

BD工程师回复真的好慢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:55 , Processed in 0.103500 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表