收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Trojan/Win32.Cerber
12
返回列表 发新帖
楼主: 白露为霜
 收起左侧

[病毒样本] Trojan/Win32.Cerber

[复制链接]
蓝天二号
发表于 2016-5-5 10:50:17 | 显示全部楼层
迈克菲。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dsb2466
头像被屏蔽
发表于 2016-5-5 11:02:47 | 显示全部楼层
skyboybone 发表于 2016-5-5 08:43
金山本地kvm

这个截图。。66666
回复

举报

请叫我德玛西亚
发表于 2016-5-5 12:27:18 | 显示全部楼层
Bitdefender blocked this page
The page you are trying to access contains Gen:Variant.Razy.48973.

Take me back to safety[:13:]
回复

举报

liulangzhecgr
发表于 2016-5-6 15:58:44 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2016-5-6 16:00 编辑
2016/5/6 15:20:33    创建文件    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: C:\Users\baba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\WFS.lnk
规则: [文件组]自动运行程序所在位置 -> [文件]c:\users\baba\appdata\roaming\microsoft\windows\start menu\programs\startup

2016/5/6 15:21:12    修改注册表值    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WFS
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:21:23    修改文件    阻止
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: C:\Users\baba\ntuser.dat.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/6 15:21:32    修改注册表值    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\WFS
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:21:38    修改注册表值    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:21:48    修改注册表值    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:22:17    修改注册表值    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:22:26    创建文件夹    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/6 15:22:41    创建文件    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/6 15:23:05    创建新进程    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
命令行: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/6 15:25:09    创建新进程    允许
进程: g:\download\新建压缩(zipped)文件夹 (2)\assaess.exe
目标: c:\windows\system32\cmd.exe
命令行: /d /c taskkill /t /f /im "assaess.exe" > NUL & ping -n 1 127.0.0.1 > NUL & del "G:\Download\新建压缩(zipped)文件夹 (2)\assaess.exe" > NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/6 15:26:26    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill  /t /f /im "assaess.exe"  
规则: [应用程序]*

2016/5/6 15:26:56    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\system32\vssadmin.exe" delete shadows /all /quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/6 15:27:03    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: G:\Download\新建压缩(zipped)文件夹 (2)\assaess.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/5/6 15:27:24    向其他进程发送消息 (6)    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\vssadmin.exe
消息: WM_GETICON
规则: [应用程序]*

2016/5/6 15:27:25    向其他进程复制句柄    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\vssadmin.exe
句柄: (Event) 0x00000078
规则: [应用程序]*

2016/5/6 15:27:59    访问COM接口    允许
进程: c:\windows\system32\vssadmin.exe
目标: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} VSS.VSSCoordinator.1
规则: [应用程序组]病毒测试 -> [COM接口]*

2016/5/6 15:28:23    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: c:\windows\system32\wbem\wmic.exe
命令行: "C:\Windows\system32\wbem\wmic.exe" shadowcopy delete
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/6 15:28:34    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_SETICON
规则: [应用程序]*

2016/5/6 15:28:59    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: c:\windows\system32\bcdedit.exe
命令行: "C:\Windows\System32\bcdedit.exe" /set {default} recoveryenabled no
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/6 15:29:35    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WFS
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:29:37    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\WFS
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:29:40    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:29:47    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:29:53    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
值: "C:\Users\baba\AppData\Roaming\{42676058-B5B5-CD60-F3E1-0CDFD14DCFD6}\WFS.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:06    创建注册表项    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\WFS_RASAPI32
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:10    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\EnableFileTracing
值: 0x00000000(0)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:11    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\EnableConsoleTracing
值: 0x00000000(0)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:13    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\FileTracingMask
值: 0xffff0000(4294901760)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:16    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\ConsoleTracingMask
值: 0xffff0000(4294901760)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:18    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\MaxFileSize
值: 0x00100000(1048576)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:22    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASAPI32\FileDirectory
值: %windir%\tracing
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:24    创建注册表项    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\WFS_RASMANCS
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:27    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\EnableFileTracing
值: 0x00000000(0)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:30    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\EnableConsoleTracing
值: 0x00000000(0)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:34    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\FileTracingMask
值: 0xffff0000(4294901760)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:38    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\ConsoleTracingMask
值: 0xffff0000(4294901760)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:42    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\MaxFileSize
值: 0x00100000(1048576)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:30:50    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\WFS_RASMANCS\FileDirectory
值: %windir%\tracing
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:31:01    修改注册表值    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 22 01 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/6 15:31:06    修改文件    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\baba\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/6 15:31:12    访问网络    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: TCP [本机 : 51916] ->  [52.6.202.8 : 80 (http)]
规则: [应用程序组]病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


2016/5/6 15:37:35    修改文件    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\yiqing\AppData\Local\Temp\daps\movie.cfg
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\yiqing\*

2016/5/6 15:37:46    修改文件    阻止
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\Public\QiYi\QiyiHCDN\Config\PSNetwork.ini
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\public\qiyi\qiyihcdn\config\*

2016/5/6 15:37:57    修改文件    阻止
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\Public\Thunder Network\ThunderPlatform\ThunderPlatform_1.1.2.264_1111\Profiles\Program\download.cfg
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\public\thunder network\thunderplatform\thunderplatform_1.1.2.264_1111\profiles\program\*

2016/5/6 15:38:02    修改文件    阻止
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\Public\Thunder Network\tp_common_info.dat
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\public\thunder network\*

2016/5/6 15:38:11    修改文件    阻止
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\yiqing\AppData\Local\Temp\daps\movie.cfg
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\yiqing\*


2016/5/6 15:39:26    修改文件    阻止
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\baba\AppData\Roaming\IQIYI Video\GeePlayer\GeePlayer.ini
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\baba\appdata\roaming\iqiyi video\geeplayer\*

2016/5/6 15:39:32    修改文件    阻止并结束进程
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe
目标: C:\Users\baba\AppData\Roaming\Microsoft\Windows\Cookies\0GL1MXJO.txt
规则: [应用程序组]病毒测试 -> [应用程序]c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\wfs.exe -> [文件]c:\users\baba\appdata\roaming\microsoft\windows\cookies\*
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 02:37 , Processed in 0.097484 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表