楼主: TheYuCheng
收起左侧

[病毒样本] 无聊做的感染型病毒 类似熊猫烧香

  [复制链接]
左手
发表于 2018-5-30 14:39:54 | 显示全部楼层
2018/5/30 14:40:32    加载动态链接库 风险提示:中风险    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2018/5/30 14:40:32    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56338] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:32    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56339] ->  [27.159.69.233 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:32    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56340] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:33    修改注册表值 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]?:\*\* -> [注册表组]阻止_优先黑名单

2018/5/30 14:40:33    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56341] ->  [27.159.69.233 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:33    修改注册表值 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\5c-dd-70-96-f9-87\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《受保护的注册表》 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2018/5/30 14:40:36    修改注册表值 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{8EBDF4A6-7395-41B8-A217-4B00F9C466CB}\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《受保护的注册表》 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2018/5/30 14:40:42    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56342] ->  [59.53.95.203 : 443 (https)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:42    读文件 风险提示:低风险    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\EP1XLJID.txt
规则: [文件组]《拦截》f139_QQ蠕虫病毒 -> [文件]*\cookies\*

2018/5/30 14:40:42    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56343] ->  [122.227.164.214 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:50    创建注册表项 风险提示:未知    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D27CDB6E-AE6D-11CF-96B8-444553540000}
规则: [注册表组]r444_IE浏览器设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\*

2018/5/30 14:40:54    创建文件 风险提示:低风险    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\Desktop\GameSetup.exe
规则: [文件组]《询问》f245_Documents and Settings -> [文件]?:\users\*\desktop\*

2018/5/30 14:40:54    删除注册表值 风险提示:敏感    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\B94294BF91EA8FB64BE61097C7FB001359B676CB
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\*\Certificates*

2018/5/30 14:40:54    创建注册表项 风险提示:未知    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\B94294BF91EA8FB64BE61097C7FB001359B676CB
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\*\Certificates*

2018/5/30 14:40:54    修改注册表值 风险提示:敏感    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\B94294BF91EA8FB64BE61097C7FB001359B676CB\Blob
值: 03 00 00 00 01 00 00 00 14 00 00 00 b9 42 94 bf 91 ea 8f b6 4b e6 10 97 c7 fb 00 13 59 b6 76 cb 7e 00 00 00 01 00 00 00 08 00 00 00 00 c0 0c 0f 7f 39 d3 01 0b 00 00 00 01 00 00 00 0e 00 00 00 57 00 6f 00 53 00 69 00 67 00 6e 00 00 00 1d 00 00 00 01 00 00 00 10 00 00 00 51 54 1f 96 c3 28 dd 7a c3 ef 2b dc e7 53 ac 47 14 00 00 00 01 00 00 00 14 00 00 00 e1 66 cf 0e d1 f1 b3 4b b7 06 20 14 fe 87 12 d5 f6 fe fb 3e 62 00 00 00 01 00 00 00 20 00 00 00 4b 22 d5 a6 ae c9 9f 3c db 79 aa 5e c0 68 38 47 9c d5 ec ba 71 64 f7 f2 2d c1 d6 5f 63 d8 57 08 53 00 00 00 01 00 00 00 23 00 00 00 30 21 30 1f 06 09 2b 06 01 04 01 82 9b 51 02 30 12 30 10 06 0a 2b 06 01 04 01 82 37 3c 01 01 03 02 00 c0 09 00 00 00 01 00 00 00 34 00 00 00 30 32 06 08 2b 06 01 05 05 07 03 01 06 08 2b 06 01 05 05 07 03 02 06 08 2b 06 01 05 05 07 03 04 06 08 2b 06 01 05 05 07 03 03 06 08 2b 06 01 05 05 07 03 08 20 00 00 00 01 00 00 00 7a 05 00 00 30 82 05 76 30 82 03 5e a0 03 02 01 02 02 10 5e 68 d6 11 71 94 63 50 56 00 68 f3 3e c9 c5 91 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 55 31 0b 30 09 06 03 55 04 06 13 02 43 4e 31 1a 30 18 06 03 55 04 0a 13 11 57 6f 53 69 67 6e 20 43 41 20 4c 69 6d 69 74 65 64 31 2a 30 28 06 03 55 04 03 13 21 43 65 72 74 69 66 69 63 61 74 69 6f 6e 20 41 75 74 68 6f 72 69 74 79 20 6f 66 20 57 6f 53 69 67 6e 30 1e 17 0d 30 39 30 38 30 38 30 31 30 30 30 31 5a 17 0d 33 39 30 38 30 38 30 31 30 30 30 31 5a 30 55 31 0b 30 09 06 03 55 04 06 13 02 43 4e 31 1a 30 18 06 03 55 04 0a 13 11 57 6f 53 69 67 6e 20 43 41 20 4c 69 6d 69 74 65 64 31 2a 30 28 06
规则: [应用程序]c:\windows\system32\svchost.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\*\Certificates*

2018/5/30 14:40:54    创建注册表项 风险提示:未知    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D27CDB6E-AE6D-11CF-96B8-444553540000}
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings; {D27CDB6E-AE6D-11CF-96B8-444553540000}

2018/5/30 14:40:57    安装全局消息钩子 风险提示:高风险    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: c:\windows\system32\dinput8.dll
钩子类型: WH_MOUSE_LL
规则: [应用程序]* -> [钩子模块]c:\windows\system32\dinput8.dll

2018/5/30 14:40:58    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56345] ->  [27.159.69.233 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:58    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56346] ->  [59.63.235.194 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:40:59    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56347] ->  [140.205.158.4 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:07    创建新进程 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: c:\users\administrator\desktop\gamesetup.exe
命令行: C:\Users\Administrator\Desktop\GameSetup.exe
规则: [应用程序]?* -> [子应用程序]a090_《行为防御》_木马运行询问

2018/5/30 14:41:07    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56349] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:11    创建文件 风险提示:低风险    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\Desktop\上网首选.lnk
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\users\*\desktop; *.lnk

2018/5/30 14:41:11    读文件夹 风险提示:低风险    阻止
进程: c:\users\administrator\desktop\gamesetup.exe
目标: D:\360安全浏览器下载
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/5/30 14:41:11    读文件 风险提示:低风险    阻止
进程: c:\users\administrator\desktop\gamesetup.exe
目标: C:\Windows\System32\sechost.dll
规则: [应用程序组]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [文件组]《坚固》f310_《全盘加固》

2018/5/30 14:41:17    创建文件 风险提示:低风险    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\上网首选.lnk
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《拦截》f100_桌面快捷方式

2018/5/30 14:41:21    修改文件 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\Desktop\360se.lnk
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\users\*\desktop; *.lnk

2018/5/30 14:41:21    修改文件 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
规则: [应用程序]?* -> [文件组]《坚固》f150_Win7系统exe -> [文件]*; *internet explore*.lnk

2018/5/30 14:41:21    修改文件 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
规则: [应用程序]?* -> [文件组]《坚固》f150_Win7系统exe -> [文件]*; *internet explore*.lnk

2018/5/30 14:41:21    修改文件 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
规则: [应用程序]?* -> [文件组]《坚固》f150_Win7系统exe -> [文件]*; *internet explore*.lnk

2018/5/30 14:41:21    修改文件 风险提示:敏感    阻止
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: C:\Users\Administrator\Favorites\Links\建议网站.url
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]*\favorites\*

2018/5/30 14:41:21    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56351] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:22    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56352] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:22    修改注册表值 风险提示:敏感    阻止
进程: c:\windows\system32\searchprotocolhost.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix
值:
规则: [注册表组]《受保护的注册表》 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2018/5/30 14:41:23    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56353] ->  [36.110.238.72 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:24    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56354] ->  [120.26.109.229 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:24    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56355] ->  [120.26.109.229 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2018/5/30 14:41:24    访问网络 风险提示:未知    允许
进程: d:\360安全浏览器下载\gamesetup.exe@667_3615059.exe
目标: TCP [本机 : 56356] ->  [123.57.151.113 : 80 (http)]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
www-tekeze
发表于 2018-5-30 14:54:52 | 显示全部楼层
熊猫烧香?? 十年前就是我的梦魇。。
必须下个双击玩玩。。
pal家族
发表于 2018-5-30 15:00:26 | 显示全部楼层
vm001 发表于 2018-5-30 10:13
你做的?????

可能是他注册了推广号吧
觉得挖矿不赚钱,转行推广了
www-tekeze
发表于 2018-5-30 15:06:40 | 显示全部楼层
火绒,双击启发杀。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2018-5-30 15:13:14 | 显示全部楼层
Trojan:Win32/Malex.gen!J

这个名字真的第一次见……

scep 文件监视。文件下载失败。
我爱你却爱着他
发表于 2018-5-30 16:25:56 | 显示全部楼层
运行后,国际版电脑管家拦截两次
a445441
发表于 2018-5-30 16:40:06 | 显示全部楼层
微点拦截
dg1vg4
发表于 2018-5-30 16:46:45 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-5-30 16:51 编辑

瑞星安全云终端,首先文件监控杀了下载器


然后是病毒本体

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vm001
发表于 2018-5-30 17:20:05 | 显示全部楼层
pal家族 发表于 2018-5-30 15:00
可能是他注册了推广号吧
觉得挖矿不赚钱,转行推广了

我下载下来的文件是这个MD5
C59C4AE57C56687E4377D40D53964559
xique666
头像被屏蔽
发表于 2018-5-30 17:26:11 | 显示全部楼层
火绒kill
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:27 , Processed in 0.099138 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表