一个普通的敲竹杠，不算复杂，藏得有点深而已……

zhou0197

样本：http://pan.baidu.com/s/1jIjhpaA

密码：infected

VT结果：https://www.virustotal.com/zh-cn ... nalysis/1464141314/

似乎报的都是VMP壳？？

经测试运行后按home键，才能触发敲竹杠行为：

2016-5-25 09:50:04    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
命令行: "C:\Documents and Settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe"
规则: [应用程序]*

2016-5-25 09:50:06    创建文件    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: C:\Documents and Settings\zhou\Local Settings\Temp\E_N30005\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2016-5-25 09:50:06    创建文件    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: C:\Documents and Settings\zhou\桌面\全屏冰冻.vmp\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2016-5-25 09:50:07    设置文件隐藏属性    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: C:\Documents and Settings\zhou\桌面\全屏冰冻.vmp\SkinH_EL.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2016-5-25 09:50:54    创建新进程    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: c:\windows\system32\net.exe
命令行: net user Administrator 1363683368
规则: [应用程序]*

2016-5-25 09:50:56    创建新进程    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: c:\windows\system32\net.exe
命令行: net user 加QQ2642755078 1363683368 /add
规则: [应用程序]*

2016-5-25 09:50:57    创建新进程    允许
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: c:\windows\system32\net.exe
命令行: net user administrators 加QQ2642755078 /add
规则: [应用程序]*

2016-5-25 09:51:00    注销、关机或重新启动系统    阻止
进程: c:\documents and settings\zhou\桌面\全屏冰冻.vmp\全屏冰冻.vmp.exe
规则: [应用程序]*

学雷锋做人

1.作者天真以为加壳过杀软，然而只不过是过某些杀软的扫描
2.作者想以按钮的方式跳过云端的自动分析，因为火眼、哈勃之类的没有“脑子”
3.作者还特意修改了文件信息，让人误以为C语言程序...
拦截录像：http://pan.baidu.com/s/1dFFf6GL





有时候中毒不能只怪作者，也要反思自己！

心醉咖啡

360 QVM16.0

qqddliu

去除C盘临时目录dll文件创建的阻止。重测
【1】2016-05-25 20:14:36,系统防护,执行控制,全屏冰冻.vmp.exe触犯执行防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\全屏冰冻.vmp.exe
风险动作：命令行添加用户账号
执行文件：C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-05-25 20:14:35,系统防护,执行控制,全屏冰冻.vmp.exe触犯执行防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\全屏冰冻.vmp.exe
风险动作：命令行修改用户账户密码
执行文件：C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-05-25 20:14:34,系统防护,自定义防护,winlogon.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\WINDOWS\system32\winlogon.exe
触犯规则：●星火●【注册表保护秒杀规则】极度危险位置(系统禁区）
操作类型：读取
操作注册表：HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-05-25 20:14:29,系统防护,自定义防护,lsass.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\WINDOWS\system32\lsass.exe
触犯规则：●星火●【注册表保护秒杀规则】系统账户保护
操作类型：写入
操作注册表：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4\F
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-05-25 20:14:05,系统防护,自定义防护,全屏冰冻.vmp.exe触犯 , 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\全屏冰冻.vmp.exe
触犯规则：●星火●【应用程序保护询问规则】系统禁区
操作类型：执行
C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

vm001

这个需要什么环境，昨天就跑了这个win8和win1064位系统起不来

轩夏

微软 miss

Eset小粉絲

TR/Black.Gen2 Trojan

Luca.l

skyboybone

金山官人又来过了？

skycai

qqddliu 发表于 2016-5-25 10:24
操作进程：C:\Documents and Settings\Administrator\桌面\全屏冰冻.vmp.exe
触犯规则：●星火●【文件保 ...

这个具体是触犯了规则中的哪个动作？
临时目录创建dll？

欧阳宣

Artemis!8B950BD47F30