123.exe

kaba666

www-tekeze 发表于 2019-4-14 16:51
so，报不报都没问题。。。喜欢的人离不了，但当你不想用时却发现几乎无法删。。

刚才打错字了，重新编辑了！仔细看图，是必应搜索，没改成

a233

kaba666 发表于 2019-4-14 16:53
刚才打错字了，重新编辑了！仔细看图，是必应搜索，没改成

这张是你自己设为百度的？

kaba666

a233 发表于 2019-4-14 16:56
这张是你自己设为百度的？

这个是win10系统，默认必应，白度搜索这个可能是我安装了白度网盘，装起的！但是在这个样本区测试的这个文件是在win7系统下测试的，和这个win10载图没关系

www-tekeze

kaba666 发表于 2019-4-14 16:53
刚才打错字了，重新编辑了！仔细看图，是必应搜索，没改成

百度工具条有很多种，如果是Ghost版XP系统带的，基本没法删！ 但这个样本算不算牛皮糖，我没仔细试，估计磁盘和注意表全清掉就没事了，如果这样也算不上多少流氓。

www-tekeze

a233 发表于 2019-4-14 16:56
这张是你自己设为百度的？

这个不算，是正常的。

kaba666

www-tekeze 发表于 2019-4-14 17:04
百度工具条有很多种，如果是Ghost版XP系统带的，基本没法删！ 但这个样本算不算牛皮糖，我没仔细试，估计 ...

我装系统全部是官方正版系统，纯净！我重来不装什么优化版呀Ghost版呀，这些系统我都不会装

www-tekeze

kaba666 发表于 2019-4-14 17:03
这个是win10系统，默认必应，白度搜索这个可能是我安装了白度网盘，装起的！但是在这个样本区测试的这个 ...

和百度网盘也没关系，百度和微软有战略协议，IE内置百度搜索的选项很正常！

kaba666

www-tekeze 发表于 2019-4-14 17:09
和百度网盘也没关系，百度和微软有战略协议，IE内置百度搜索的选项很正常！

那就没说的了！那就是系统自带的！

www-tekeze

kaba666 发表于 2019-4-14 17:11
那就没说的了！那就是系统自带的！

是的。。。但那个BaiduBar的dll算不算毒？ 就看作者如何利用了。。

但这个样本双击后没任何提示就装上了插件，还是有点。。。好吧，不聊了，下班。。。

左手

2019/4/14 星期日 22:12:43    创建文件夹 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu
规则: [文件组]《询问》f252_安装ProgramFiles -> [文件]?:\program files\*

2019/4/14 星期日 22:12:44    创建文件夹 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

2019/4/14 星期日 22:12:44    创建文件夹 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar\BDBar_tmp
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

2019/4/14 星期日 22:12:44    创建文件夹 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar\BDBar_tmp\img
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

2019/4/14 星期日 22:12:47    创建文件 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar\BDBar_tmp\baidubar.dat
规则: [文件组]《询问》f252_安装ProgramFiles -> [文件]?:\program files\*\*

2019/4/14 星期日 22:12:50    创建文件 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar\BaiduBar.dll
规则: [文件组]《询问》f252_安装ProgramFiles -> [文件]?:\program files\*\*

2019/4/14 星期日 22:12:50    创建注册表项 风险提示:未知    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BaiduBar.Baidu.1
规则: [注册表组]《受保护的注册表》 -> [注册表]*\Software\Classes\*

2019/4/14 星期日 22:12:50    创建文件夹 风险提示:低风险    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\Program Files\baidu\bar\img
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

2019/4/14 星期日 22:12:54    创建文件夹 风险提示:低风险    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度工具栏
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\programdata\microsoft\windows\start menu\programs

2019/4/14 星期日 22:12:54    创建注册表项 风险提示:未知    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
规则: [注册表组]《受保护的注册表》 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

2019/4/14 星期日 22:12:54    创建注册表项 风险提示:未知    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sobar
规则: [注册表组]r002_例外_允许_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*

2019/4/14 星期日 22:12:54    修改注册表值 风险提示:木马    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sobar\DisplayName
值: 百度工具栏
规则: [注册表组]r002_例外_允许_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*

2019/4/14 星期日 22:12:54    修改注册表值 风险提示:木马    允许
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sobar\UninstallString
值: C:\windows\system32\rundll32.exe C:\PROGRA~1\baidu\bar\BaiduBar.dll,Uninstall
规则: [注册表组]r002_例外_允许_记录日志 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*

2019/4/14 星期日 22:12:54    创建注册表项 风险提示:未知    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
规则: [注册表组]《受保护的注册表》 -> [注册表]*\Software\Microsoft\Internet*\*

2019/4/14 星期日 22:12:54    创建注册表项 风险提示:未知    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{A2E4E850-ABB6-4cb1-BC83-86DFAF0E7605}
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes*

2019/4/14 星期日 22:12:54    修改注册表值 风险提示:木马    阻止
进程: c:\users\administrator\desktop\123\123.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope
值: {A2E4E850-ABB6-4cb1-BC83-86DFAF0E7605}
规则: [注册表组]r005_阻止_记录日志 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes*