XiaoBa自制蠕虫病毒[2018-1-10]

qq1094250746

window7自带都检查了到了。

cloud01

popu111 发表于 2018-1-12 11:41
基本演绎法。。。这名字看起来贼高大上为毛我搜出个电视剧来

你们专业

cloud01

欧阳宣 发表于 2018-1-12 14:53
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2049976&pid=38083391

是不是AMS， ...

你知道AMS

cloud01

欧阳宣 发表于 2018-1-12 14:05
如果连AMS的报法文本都没见过我建议你就别瞎猜了。miss了一个样本就别哭天喊地的，太正常了

你哭天喊地

欧阳宣

cloud01 发表于 2018-1-12 18:16
你知道AMS

怂了就好

cloud01

欧阳宣 发表于 2018-1-12 18:27
怂了就好

卡饭支柱沦落到这种地步了吗？  现在卡饭只剩支柱你自己玩了。

1550388733

win10 自带直接下载完毕就查杀了。

551122

安全守护者

http://dev.tcasoft.com/tcaCloudP ... 04a&sk=75273416
https://habo.qq.com/file/showdetail?pk=ADMGY11tB2IIPVs9
连数字签名都是错的


小朋友，你的那个http://www.bayucheng.tk/还挖矿哩

1. 20:44:37[1]：(允许)程序启动：File_Analysis 行为记录成功开启   规则版本：2.3.0.0
   
2. 
   
3. 20:44:37[2]：(允许)读取文件：\\.\HR::DTrampo
   
4. 
   
5. 20:44:37[3]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
   
6. 
   
7. 20:44:37[5]：(允许)读取文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\8828F39C7C0CE9A14B25C7EB321181BA_979616258BF86589758CB5080464F37F
   
8. 
   
9. 20:44:37[6]：(允许)读取文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\A3D5BF1283C2E63D8C8A8C72F0051F5A
   
10. 
    
11. 20:44:37[7]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
12. 
    
13. 20:44:37[8]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
    
14. 
    
15. 20:44:37[9]：(安全环境)写入文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\A3D5BF1283C2E63D8C8A8C72F0051F5A
    
16. 
    
17. 20:44:37[10]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
18. 
    
19. 20:44:37[11]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
    
20. 
    
21. 20:44:37[12]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
    
22. 
    
23. 20:44:37[13]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
24. 
    
25. 20:44:37[14]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
    
26. 
    
27. 20:44:37[15]：(安全环境)写入文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\A3D5BF1283C2E63D8C8A8C72F0051F5A
    
28. 
    
29. 20:44:37[16]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
30. 
    
31. 20:44:37[17]：(允许)读取文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7738DEEB98EDA9019C09BBA86A6A95CE
    
32. 
    
33. 20:44:37[18]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
34. 
    
35. 20:44:37[19]：(允许)读取文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C87760790918909847A720A76D54F60E
    
36. 
    
37. 20:44:38[20]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
38. 
    
39. 20:44:38[21]：(允许)读取文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7738DEEB98EDA9019C09BBA86A6A95CE
    
40. 
    
41. 20:44:38[22]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
42. 
    
43. 20:44:38[23]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
    
44. 
    
45. 20:44:38[24]：(安全环境)写入文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7738DEEB98EDA9019C09BBA86A6A95CE
    
46. 
    
47. 20:44:38[25]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow
    
48. 
    
49. 20:44:38[26]：(允许)获取文件属性：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
    
50. 
    
51. 20:44:38[27]：(安全环境)写入文件：C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\7738DEEB98EDA9019C09BBA86A6A95CE
    
52. 
    
53. 20:44:39[28]：(阻止)创建注册表键：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
    
54. 
    
55. 20:44:39[29]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\DefaultConnectionSettings     数据：
    
56. 
    
57. 20:44:39[30]：(允许)读取文件：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\L21LG35D.txt
    
58. 
    
59. 20:44:45[31]：(允许)连接站点：128.20.178.7(IP)     端口：-17663     用户名：     密码：
    
60. 
    
61. 20:44:45[32]：(阻止)创建注册表键：320\FEATURE_ZONE_ELEVATION\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
    
62. 
    
63. 20:44:45[33]：(允许)读取注册表键值：320\FEATURE_ZONE_ELEVATION\DefaultConnectionSettings     数据：
    
64. 
    
65. 20:44:45[34]：(允许)联网获取数据：GET /weiyun/down.php?u=39eb9eb7a9674e9bc92e2f0509595eda.undefined.exe
    
66. 
    
67. 20:44:55[35]：(安全环境)写入文件：C:\Windows\svchost\svchost.exe
    
68. 
    
69. 20:44:55[36]：(安全环境)写入文件：C:\Windows\MFC\svchost.exe
    
70. 
    
71. 20:44:55[37]：(安全环境)设置文件属性：C:\Windows\MFC\svchost.exe
    
72. 
    
73. 20:44:55[38]：(阻止)运行程序：C:\Windows\svchost\svchost.exe
    
74. 
    
75. 20:44:55[39]：(阻止)运行程序：C:\Windows\MFC\svchost.exe
    
76. 
    
77. 20:44:55[40]：(允许)设置文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\Tencentdl.exe
    
78. 
    
79. 20:44:55[41]：(阻止)创建进程：cmd.exe /c del "D:\File_Analysis 2.7[密码：520]\File_safe\Tencentdl.exe"
    
80. 
    
81. 20:44:55[42]：(允许)程序退出：File_Analysis 行为记录到此为止
    

复制代码

安全守护者

《中华人民共和国刑法》
第二百八十六条    违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。
        违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。
        故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

小心警察找上你门，小朋友