脚本

显示全部楼层 · 发表于 2015-11-18 20:55:19

卡巴杀一个

显示全部楼层 · 发表于 2015-11-18 21:49:58

显示全部楼层 · 发表于 2015-11-18 21:50:46

看名字是小浩

显示全部楼层 · 发表于 2015-11-18 21:54:15

本帖最后由 sanhu35 于 2015-11-18 22:07 编辑

通过U盘自动播放和VBS传播。

防御方法：
1.限制系统wscript.exe的权限。
2.关闭自动播放。
3.监控VBS VBE等高危文件的创建写入
4.阻止修改注册表安全模式。

2015-11-18 21:53:06 设置文件隐藏属性阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\桌面\kdjfdhf\xiao.vbs
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

2015-11-18 21:53:06 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\xiao.vbs
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

2015-11-18 21:53:06 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\wbem\xiao.vbs
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

2015-11-18 21:53:06 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\.reg
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护系统文件

2015-11-18 21:53:06 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\Application\xiao.vbs
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

2015-11-18 21:53:06 删除注册表项阻止并结束进程
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys
规则: [注册表组]秒杀高危 -> [注册表]*\System\*controlset*\Control\Safeboot*

显示全部楼层 · 发表于 2015-11-19 12:42:06

费尔监控杀2个。。。至于说最后一个没有运行成功。。。

显示全部楼层 · 发表于 2015-11-19 13:04:48

在文件“C:\Users\Nelumbonucifera\Downloads\kdjfdhf\kdjfdhf\xiao.vbs”中检测到病毒或
恶意程序“WORM/Autorun.Y.1 [worm]”。
执行的操作：传输至扫描程序

显示全部楼层 · 发表于 2015-11-19 13:18:28

wjy19800315 发表于 2015-11-18 19:53
wd杀几个？？

基因杀，一个主体，另外两个，没有这个主体也没有啥危害了
Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 37&enterprise=0
名称: Worm:VBS/VBSWGbased.gen
ID: 2147536537
严重性: 严重
类别: 蠕虫
路径: file:_E:\VIR\VBS\kdjfdhf\kdjfdhf\xiao.vbs
检测来源: 本地计算机
检测类型: 通用
检测源: 实时保护

显示全部楼层 · 发表于 2015-11-19 14:49:16

国际百度
[mw_shl_code=css,true]Time Result Object Target Event
------------------------------------------------------------------------------------------------------------------------------------------------------
2015/11/18 22:14:11 Allowed C:\BavSandboxRoot\Default\Device\HarddiskVolume1\Users\ADMINI~1\AppData\Local\Temp\RarSFX0\Setup.exe PID:\\\
2015/11/18 22:15:25 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh\Setup.exe
2015/11/18 22:23:39 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh.exe
2015/11/18 22:23:50 Trusted D:\Program Files\SketchUp\SketchUp 2015\SketchUp.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SketchUp.Document\shell\open\command/D:\PROGRA~1\SketchUp\SKETCH~1\SketchUp.exe "%1" " />这个程序正在修改右键菜单" />
2015/11/19 14:45:12 Rejected C:\Windows\regedit.exe HKEY_USERS\S-1-5-21-405995492-4216430718-1867223844-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\[Explorer]/xiao.vbs " />这个程序正在添加开机启动项" />
2015/11/19 14:45:23 Rejected C:\Windows\System32\svchost.exe C:\Windows\Tasks\At1.job " />这个程序正在创建计划任务" />
2015/11/19 14:45:31 Rejected C:\Windows\System32\svchost.exe C:\Windows\System32\Tasks\At1 " />这个程序正在创建计划任务" />
Time Result Object Target Event
------------------------------------------------------------------------------------------------------------------------------------------------------
2015/11/18 22:14:11 Allowed C:\BavSandboxRoot\Default\Device\HarddiskVolume1\Users\ADMINI~1\AppData\Local\Temp\RarSFX0\Setup.exe PID:\\\
2015/11/18 22:15:25 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh\Setup.exe
2015/11/18 22:23:39 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh.exe
2015/11/18 22:23:50 Trusted D:\Program Files\SketchUp\SketchUp 2015\SketchUp.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SketchUp.Document\shell\open\command/D:\PROGRA~1\SketchUp\SKETCH~1\SketchUp.exe "%1" " />这个程序正在修改右键菜单" />
2015/11/19 14:45:12 Rejected C:\Windows\regedit.exe HKEY_USERS\S-1-5-21-405995492-4216430718-1867223844-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\[Explorer]/xiao.vbs " />这个程序正在添加开机启动项" />
2015/11/19 14:45:23 Rejected C:\Windows\System32\svchost.exe C:\Windows\Tasks\At1.job " />这个程序正在创建计划任务" />
2015/11/19 14:45:31 Rejected C:\Windows\System32\svchost.exe C:\Windows\System32\Tasks\At1 " />这个程序正在创建计划任务" />
Time Result Object Target Event
------------------------------------------------------------------------------------------------------------------------------------------------------
2015/11/18 22:14:11 Allowed C:\BavSandboxRoot\Default\Device\HarddiskVolume1\Users\ADMINI~1\AppData\Local\Temp\RarSFX0\Setup.exe PID:\\\
2015/11/18 22:15:25 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh\Setup.exe
2015/11/18 22:23:39 Allowed D:\360安全浏览器下载\bouiyhgfd\hfvhgygugh.exe
2015/11/18 22:23:50 Trusted D:\Program Files\SketchUp\SketchUp 2015\SketchUp.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SketchUp.Document\shell\open\command/D:\PROGRA~1\SketchUp\SKETCH~1\SketchUp.exe "%1" " />这个程序正在修改右键菜单" />
2015/11/19 14:45:12 Rejected C:\Windows\regedit.exe HKEY_USERS\S-1-5-21-405995492-4216430718-1867223844-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\[Explorer]/xiao.vbs " />这个程序正在添加开机启动项" />
2015/11/19 14:45:23 Rejected C:\Windows\System32\svchost.exe C:\Windows\Tasks\At1.job " />这个程序正在创建计划任务" />
2015/11/19 14:45:31 Rejected C:\Windows\System32\svchost.exe C:\Windows\System32\Tasks\At1 " />这个程序正在创建计划任务" />
[/mw_shl_code]

显示全部楼层 · 发表于 2015-11-19 15:33:10

McAfee miss all

显示全部楼层 · 发表于 2015-11-23 08:56:25

2015/11/23 08:38:41 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\Windows\System32\WScript.exe" "G:\Download\kdjfdhf\kdjfdhf\xiao.vbs"
规则: [应用程序]*

2015/11/23 08:39:40 设置文件隐藏属性允许
进程: c:\windows\system32\wscript.exe
目标: G:\Download\kdjfdhf\kdjfdhf\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:39:49 创建文件允许
进程: c:\windows\system32\wscript.exe
目标: C:\Windows\System32\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:39:54 设置文件隐藏属性允许
进程: c:\windows\system32\wscript.exe
目标: C:\Windows\System32\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:40:03 创建文件允许
进程: c:\windows\system32\wscript.exe
目标: C:\Windows\System32\wbem\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:40:08 设置文件隐藏属性允许
进程: c:\windows\system32\wscript.exe
目标: C:\Windows\System32\wbem\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:40:45 创建新进程允许
进程: c:\windows\system32\wscript.exe
目标: c:\windows\regedit.exe
命令行: "C:\Windows\regedit.exe" /s .reg
规则: [应用程序]*

2015/11/23 08:41:02 修改注册表值阻止
进程: c:\windows\regedit.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Explorer
值: xiao.vbs
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\*

2015/11/23 08:41:08 创建新进程允许
进程: c:\windows\system32\wscript.exe
目标: c:\windows\regedit.exe
命令行: "C:\Windows\regedit.exe" /s .reg
规则: [应用程序]*

2015/11/23 08:41:14 修改注册表值阻止
进程: c:\windows\regedit.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Explorer
值: xiao.vbs
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\*

2015/11/23 08:41:22 创建文件允许
进程: c:\windows\system32\wscript.exe
目标: C:\Users\All Users\Application\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:41:27 设置文件隐藏属性允许
进程: c:\windows\system32\wscript.exe
目标: C:\ProgramData\Application\xiao.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2015/11/23 08:41:43 删除注册表项阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2015/11/23 08:41:48 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\System32\regsvr32.exe" /s "C:\Program Files\Common Files\System\ado\msado15.dll
规则: [应用程序]*

2015/11/23 08:41:55 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\net.exe
命令行: "C:\Windows\System32\net.exe" start "task scheduler"
规则: [应用程序]*

2015/11/23 08:42:12 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\at.exe
命令行: "C:\Windows\System32\at.exe" /d /y
规则: [应用程序]*

2015/11/23 08:42:18 修改其他进程的线程阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\wscript.exe
规则: [应用程序]c:\windows\system32\services.exe

2015/11/23 08:42:22 访问网络阻止
进程: c:\windows\system32\wscript.exe
目标: TCP [本机 : 49818] ->  [61.135.169.125 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/11/23 08:42:23 访问网络阻止
进程: c:\windows\system32\wscript.exe
目标: UDP [本机 : 60437] ->  [127.0.0.1 : 60437]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/11/23 08:42:25 访问网络阻止
进程: c:\windows\system32\wscript.exe
目标: TCP [本机 : 49819] ->  [61.135.169.121 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/11/23 08:42:38 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\at.exe
命令行: "C:\Windows\System32\at.exe" 8:46:46 /interactive xiao.vbs
规则: [应用程序]*

[病毒样本] 脚本

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

浏览过的版块