感染EXE的DOWNLOADER,非常隐蔽!谁敢运行?

显示全部楼层 · 发表于 2008-1-30 19:11:39

原帖由 chenrui19930 于 2008-1-30 13:59 发表
不过好象删不掉哦

我这边拦截处理成功你上报微点试试微点的日志好像有bug “杀木马失败”

显示全部楼层 · 发表于 2008-1-30 20:26:17

我运行后到清理共被改过三次系统时间.2092年的(就是生成病毒的)日志没保留住只有后面的了.
2034-01-30 19:12:26 修改文件    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\IME\svchost.exe
文件路径:E:\setup.exe

2034-01-30 19:12:38 运行应用程序    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\WINDOWS\system32\internt.exe

2034-01-30 19:12:38 运行应用程序    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\WINDOWS\system32\progmon.exe

2034-01-30 19:12:40 运行应用程序    操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:fldrclnr.dll,Wizard_RunDLL
触发规则:应用程序规则->系统程序->%windir%\Explorer.EXE->%windir%\system32\rundll32.exe

2034-01-30 19:12:40 修改系统时间    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\internt.exe

2055-01-30 19:12:40 修改系统时间    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\progmon.exe

2055-01-30 19:12:41 删除文件    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\internt.exe
文件路径:C:\WINDOWS\system32\IME\svchost.exe

2055-01-30 19:12:41 修改文件    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\internt.exe
文件路径:C:\WINDOWS\system32\IME\svchost.exe

2055-01-30 19:12:42 删除文件    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\progmon.exe
文件路径:C:\WINDOWS\system32\IME\svchost.exe

2055-01-30 19:12:43 修改注册表内容    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Personal

2055-01-30 19:12:44 修改文件    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\progmon.exe
文件路径:C:\WINDOWS\system32\IME\svchost.exe

[2.5.0.7.1128 - 2.5.11.7.1214]
2007-12-17 17:45
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS\APPINIT_DLLS\REG_SZ00

[2.6.1.8.0126 - 2.6.6.8.0129]
2008-01-30 19:38
C:\WINDOWS\SYSTEM32\INTERNT.EXE
C:\WINDOWS\SYSTEM32\PROGMON.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\INTERNT
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\PROGRAM FILE

[2.6.1.8.0126 - 2.6.6.8.0129]
2008-01-30 19:38
C:\DOCUMENTS AND SETTINGS\QCQYT\LOCAL SETTINGS\TEMP\RS.BAT

[2.6.1.8.0126 - 2.6.6.8.0129]
2008-01-30 19:38
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\ALERTER COM+
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\ALERTER COM+
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_ALERTER_COM+
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\ALERTER COM+

[2.6.1.8.0126 - 2.6.6.8.0129]
2008-01-30 19:38
C:\AUTORUN.INF
C:\WINDOWS\SYSTEM32\IME\SVCHOST.EXE
E:\AUTORUN.INF

运行后等了5分钟.未发现下载木马等动作.
清理很简单.直接删除病毒生成文件和注册表启动项目还有服务就可以了.
注册表被改修复:打开sreng--系统修复--高级修复--推荐修复级别--自动修复.
IE发现:病毒.瑞星.360.等内容将被关闭窗口.
其它未发现问题.
模仿AV终结者.但写得还不成.应该是新手之做.

显示全部楼层 · 发表于 2008-1-30 20:40:00

这个是1.4版本的,现在都2.0了,更厉害了

显示全部楼层 · 发表于 2008-1-30 21:30:18

原帖由 chenrui19930 于 2008-1-30 20:40 发表
这个是1.4版本的,现在都2.0了,更厉害了

什么2.0了?

显示全部楼层 · 发表于 2008-1-30 23:28:00

已刪除: 病毒 Worm.Win32.AutoRun.bje 檔案: C:\Documents and Settings\kato9096\桌面\kasperskysetup.rar/kasperskysetup.exe

显示全部楼层 · 发表于 2008-2-1 21:19:16

都给查出来了！汗

显示全部楼层 · 发表于 2008-2-2 11:10:23

改时间
system32 下create IME\svchost.exe

拦住就

成

[病毒样本] 感染EXE的DOWNLOADER,非常隐蔽!谁敢运行?

本帖子中包含更多资源

回复 32楼 qcqyt 的帖子