很牛的一个银行签名免杀病毒！存在了几个月都没能杀掉它。

ELOHIM

dllhost.exe        2244        TCP        PC    2331        183.0.4.194        8888        SYN_SENT                                                                               
一直连不上，我都为他捉急。。。

Luca.l

[mw_shl_code=xml,true]基本信息
文件名称：SERVER.rar
MD5：33c4daca3267dda9b77de9710face825
Sha-1：6e39f0a2bd733ae3d60e015a6480b35618a42829
文件大小：228KB
创建时间：2015-11-25 23:14:47
文件类型：RAR
PEID信息：Not a valid PE file
火眼点评
      查找安全软件进程;删除右键新建中的项;搜索指定窗口;查找指定进程;创建进程;创建互斥体;在其他进程中申请内存;拷贝自身到其他目录;检测是否存在指定注册表键;隐藏指定窗口;疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）
危险行为监控
行为描述：查找安全软件进程
附加信息：360tray.exeksafetray.exe
其他行为监控
行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）
附加信息：qq图片20150725114814.jpg
行为描述：隐藏指定窗口
附加信息：OnKeyRegClassDB 9321 ABC : [Inst.exe]
行为描述：检测是否存在指定注册表键
附加信息：HKEY_CURRENT_USER\Software\limitHKEY_LOCAL_MACHINE\Software\Tendyron\DB_ABC
行为描述：拷贝自身到其他目录
附加信息：%windir%\limit\baidu.exe%windir%\limit\load.exe
行为描述：在其他进程中申请内存
附加信息：%windir%\limit\dllhost.exe%system%\rundll32.exe%system%\verclsid.exe
行为描述：创建互斥体
附加信息："3355598.com""_!SHMSFTHISTORY!_""c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!""eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0 - S-1-5-21-1645522239-1123561945-1417001333-500""zt"
行为描述：创建进程
附加信息：%windir%\limit\dllhost.exe%system%\rundll32.exe%system%\verclsid.exe
行为描述：查找指定进程
附加信息：crossfire.exe
行为描述：搜索指定窗口
附加信息：["OnKeyRegClassDB 9321 ABC" , "OnKeyReg001DB 9321 ABC"]["ShImgVw:CPreviewWnd" , ""]
行为描述：删除右键新建中的项
附加信息：BMP 图像LanguageRTF 文档WinRAR ZIP 压缩文件WinRAR 压缩文件~reserved~公文包写字板文档文本文档波形声音
文件操作监控
操作        文件MD5        文件大小        文件路径
新增        9d81f3e6316a65bab817a274a3144581        326657        %windir%\limit\\config.dat
新增        d88776edf7fea53047f30474b2ee6f74        88376        %windir%\limit\\baidu.exe
新增        8a8fe89ea0954f509b1a8e8c769ac0af        1396        %AllUsersProfile%\桌面\\百度一下.lnk
新增        bba68cb01bd80300b7b7d4055d031fb8        45056        %windir%\limit\\dllhost.exe
新增        eedc2ae4e72e7311715ad03dfa34f716        16958        %windir%\limit\\tb.ICO
新增        7b532a47ef611140d775eb5d9b34d3bd        122440        %ProgramFiles%\limit\\crossfire.ex...
新增        de5a2177659b56cc317249e30e34b7d0        26112        %windir%\limit\\DBToken_ABC.dll
新增        c0f7d6ba5553ff8ea42d2200d531cc3c        28754        %windir%\\QQ图片20150725114814.jpg
新增        d88776edf7fea53047f30474b2ee6f74        88376        %windir%\limit\\load.exe
进程操作监控
创建进程：DBSvr_ABC.exe
启动参数：无
创建进程：%windir%\QQ图片20150725114814.jpg
启动参数：无
创建进程：%system%\RUNDLL32.exe
启动参数："rundll32.exe" %system%\shimgvw.dll,ImageView_Fullscreen %windir%\QQ图片20150725114814.jpg
创建进程：无
启动参数：%windir%\limit\dllhost.exe
创建进程：%system%\VerCLSID.exe
启动参数：/S /C {D6277990-4C6A-11CF-8D87-00AA0060F5BF} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
创建进程：%system%\VerCLSID.exe
启动参数：/S /C {F5175861-2688-11D0-9C5E-00AA00A45957} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
创建进程：%system%\VerCLSID.exe
启动参数：/S /C {88C6C381-2E85-11D0-94DE-444553540000} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
创建进程：%system%\VerCLSID.exe
启动参数：/S /C {1D2680C9-0E2A-469D-B787-065558BC7D43} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
新增删除修改 注册表监控
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Explorer\Disca...
[~reserved~] = [\x18\x00\x00\x00\x01...]
[波形声音] = [\x00\x00\x00\x00\x00...]
[WinRAR ZIP 压缩文件] = [\x00\x00\x00\x00\x00...]
[RTF 文档] = [\x00\x00\x00\x00\x00...]
[BMP 图像] = [\x00\x00\x00\x00\x00...]
[文本文档] = [\x00\x00\x00\x00\x00...]
[Language] = [0x00000804]
[公文包] = [\x00\x00\x00\x00\x00...]
[WinRAR 压缩文件] = [\x00\x00\x00\x00\x00...]
[写字板文档] = [\x00\x00\x00\x00\x00...]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Explorer\FileE...
[WinRAR.ZIP] = [NIL]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
[http] = [0x00000002]
[https] = [0x00000002]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
[http] = [0x00000002]
[https] = [0x00000002]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
[https] = [0x00000002]
[http] = [0x00000002]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Setti...
[https] = [0x00000002]
[http] = [0x00000002]
HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Shell Extensio...
[{1D2680C9-0E2A-469D-B787-065558BC7D43} {000214E6-0000-0000-C000-000000000046} 0x401] = [\x01\x00\x00\x00\x8c...]
[{D6277990-4C6A-11CF-8D87-00AA0060F5BF} {000214E6-0000-0000-C000-000000000046} 0x401] = [\x01\x00\x00\x00\x01...]
[{F5175861-2688-11D0-9C5E-00AA00A45957} {000214E6-0000-0000-C000-000000000046} 0x401] = [\x01\x00\x00\x00\x01...]
[{88C6C381-2E85-11D0-94DE-444553540000} {000214E6-0000-0000-C000-000000000046} 0x401] = [\x01\x00\x00\x00\x01...]
网络监控
网络操作
[Connect HOST]0.0.0.0:0
[Connect HOST]96.149.37.99:8888
[Open URL]
[Open URL]3355598.com
[Open URL]96.149.37.99
[Resolve HOST Name]3355598.com[/mw_shl_code]

shadowqs

ikimi 发表于 2015-11-25 22:43
1、签名天地融，不是金融机构，更不是银行；

2、天地融该数字证书不会被吊销；

我这老病毒库的AVG都能拦截是不是变相说明他厉害呀?

EnZhSTReLniKoVa

大蜘蛛解压

"Trojan.Click3.16434  ","已隔离","C:\users\natsukihanae\desktop\server\1\dbtoken_abc.dll",

xu3160668

欧阳宣 发表于 2015-11-25 15:08
f-secure miss

双击呢？

peiyaojian

sep12 pass

230f4

谁上报的？感谢上报

ericdj

230f4 发表于 2015-11-26 12:34
谁上报的？感谢上报

BD入库了，偶就不测试咯

230f4

ericdj 发表于 2015-11-26 13:27
BD入库了，偶就不测试咯

保护费不是白交的

核弹总裁黄仁勋

NIS右键扫描杀，双击没试