敲竹杠界的要你命3000……实机运行警告！

显示全部楼层 · 发表于 2016-8-14 10:54:57

本帖最后由 zhou0197 于 2016-8-14 12:19 编辑

样本：http://pan.baidu.com/s/1bo54uBX

解压密码：infected

经过初步虚拟机测试，此样本具有添加普通开机密码和账户，锁MBR，添加开机启动项（反复搞你），破坏安全模式，全盘按后缀名批量删除文件（包括能删除的系统文件），破坏性极高！

因此，你懂得……

实机运行警告！
实机运行警告！
实机运行警告！

真心是敲竹杠界的要你命3000……

PS：好吧，发现MBR加密的密码和系统密码似乎都是联网随机获取…………这个有点狠…………

然而并没有什么卵用，系统估计已经废掉了……

显示全部楼层 · 发表于 2016-8-14 11:10:02

本帖最后由 alfred0156 于 2016-8-14 11:13 编辑

是我虚拟机环境的问题吗双击运行重启后没发现有任何改变
AVG 卡巴2016 MISS
数字竟然扫描报毒
类型:木马-HEUR/QVM19.1.1BCE.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\vshare\CF狙击手辅助.exe
文件大小:4.23M (4,431,872 字节)
文件指纹（MD5）:ab98d0a75a6b26fd37a4a2827c138779
处理建议:隔离文件

显示全部楼层 · 发表于 2016-8-14 11:18:45

alfred0156 发表于 2016-8-14 11:10
是我虚拟机环境的问题吗双击运行重启后没发现有任何改变
AVG 卡巴2016 MISS
数字竟然扫描报毒
...

我的虚拟机做过一些防御反虚拟机检测的设置…………

这货好像有反虚拟机功能的……

显示全部楼层 · 发表于 2016-8-14 11:20:51

zhou0197 发表于 2016-8-14 11:18
我的虚拟机做过一些防御反虚拟机检测的设置…………

这货好像有反虚拟机功能的……

怪不得虚拟机上运行就像是没事一样

不过AVG双击运行后还是报警了

显示全部楼层 · 发表于 2016-8-14 11:22:11

alfred0156 发表于 2016-8-14 11:20
怪不得虚拟机上运行就像是没事一样
不过AVG双击运行后还是报警了

实机…………亲，千万小心啊……

显示全部楼层 · 发表于 2016-8-14 11:23:33

alfred0156 发表于 2016-8-14 11:20
怪不得虚拟机上运行就像是没事一样
不过AVG双击运行后还是报警了

IDP最近很厉害啊

显示全部楼层 · 发表于 2016-8-14 11:25:06

zhou0197 发表于 2016-8-14 11:22
实机…………亲，千万小心啊……

实机我是不敢

...这是虚拟机上管理员权限运行两次样本（没错是两次）后AVG才报警的

显示全部楼层 · 发表于 2016-8-14 11:25:54

360压缩解压包检测报毒，解压后传给邻居，江民右键安全

显示全部楼层 · 发表于 2016-8-14 11:26:18

lovelive10010 发表于 2016-8-14 11:23
IDP最近很厉害啊

是啊

我都在考虑要不要转投AVG的怀抱....

显示全部楼层 · 发表于 2016-8-14 11:29:07

本帖最后由 tg123321 于 2016-8-14 11:42 编辑

实机占位测试md

好像防御成功
2016-8-14 11:40:25 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:25 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:25 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:25 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\winmm.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\serwvdrv.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\umdmxfrm.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\rasapi32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\rasman.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\ws2_32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\ws2help.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\tapi32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\rtutils.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:26 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\winspool.drv
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:27 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:27 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\msctf.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:27 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\msctfime.ime
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:27 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\gdiplus.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:39 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\TerryTian\Local Settings\Temporary Internet Files
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-14 11:40:41 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: C:\Documents and Settings\TerryTian\Local Settings\Temporary Internet Files\Content.IE5
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:42 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x0004e1ff(319999)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:43 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\TerryTian\Cookies
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-14 11:40:44 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\TerryTian\Local Settings\History
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-14 11:40:44 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\wsock32.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:44 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:44 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\msv1_0.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:44 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\iphlpapi.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:44 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:44 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\sensapi.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:44 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:44 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]● 行为测试规则 -> [文件组]◆ 系统目录保护（阻止） -> [文件]c:\windows\*

2016-8-14 11:40:45 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-14 11:40:45 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:45 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]● 行为测试规则 -> [文件组]◆ 系统目录保护（阻止） -> [文件]c:\windows\*

2016-8-14 11:40:46 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\TerryTian\Application Data
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-14 11:40:47 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:47 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:48 删除注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:49 删除注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:49 删除注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:50 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\*ControlSet*\Hardware Profiles\*

2016-8-14 11:40:50 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 3c 00 00 00 d9 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 00 b3 e9 58 6c de d1 01 01 00 00 00 c0 a8 03 05 00 00 00 00 00 00 00 00
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:51 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:52 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:52 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:53 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:54 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:54 修改注册表值阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:54 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:54 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\mswsock.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:54 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:54 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\rasadhlp.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:54 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\hnetcfg.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:54 加载动态链接库允许
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: c:\windows\system32\wshtcpip.dll
规则: [应用程序组]● 行为测试规则

2016-8-14 11:40:54 访问网络阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: TCP [本机 : 1257] ->  [202.108.33.51 : 80 (http)]
规则: [应用程序组]● 行为测试规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016-8-14 11:40:54 访问网络阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: TCP [本机 : 1258] ->  [61.135.218.26 : 80 (http)]
规则: [应用程序组]● 行为测试规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016-8-14 11:40:54 访问网络阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: TCP [本机 : 1259] ->  [61.135.218.27 : 80 (http)]
规则: [应用程序组]● 行为测试规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016-8-14 11:40:54 访问网络阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: TCP [本机 : 1260] ->  [61.135.218.25 : 80 (http)]
规则: [应用程序组]● 行为测试规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016-8-14 11:40:54 访问网络阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: TCP [本机 : 1261] ->  [61.135.218.24 : 80 (http)]
规则: [应用程序组]● 行为测试规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016-8-14 11:40:54 修改文件阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-14 11:40:57 创建注册表项阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\Policies\System
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Policies*

2016-8-14 11:40:58 创建注册表项阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\Policies
规则: [应用程序组]● 行为测试规则 -> [注册表]*

2016-8-14 11:40:58 创建注册表项阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\Windows\CurrentVersion\Policies\System
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Policies*

2016-8-14 11:40:59 创建注册表项阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Policies
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\*ControlSet*\Hardware Profiles\*

2016-8-14 11:41:00 创建注册表项 (2) 阻止
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Policies*

2016-8-14 11:41:01 创建文件阻止并结束进程
进程: f:\virustest\cf狙击手辅助\cf狙击手辅助.exe
目标: C:\系统修复重要补丁.exe
规则: [应用程序组]● 行为测试规则 -> [文件组]☆ 高危动作秒杀（结束） -> [文件]?:\; *.exe

[病毒样本] 敲竹杠界的要你命3000……实机运行警告！

本帖子中包含更多资源

浏览过的版块