收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 usb感染型病毒 (變種)
1234下一页
返回列表 发新帖
查看: 3904|回复: 31
收起左侧

[病毒样本] usb感染型病毒 (變種)

  [复制链接]
a7878330
发表于 2019-4-28 11:19:56 | 显示全部楼层 |阅读模式
本帖最后由 a7878330 于 2019-4-28 11:22 编辑

載1 http://www.funp.net/619202

載2:https://www.sendspace.com/file/jsmivl

我去我家附近  列印資料後
回家發現的
應該是usb感染型病毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

回复

举报

a7878330
 楼主| 发表于 2019-4-28 11:21:46 | 显示全部楼层
@www-tekeze

研究看看
回复

举报

左手
发表于 2019-4-28 11:24:55 | 显示全部楼层
  1. 2019/4/28 11:21:53    删除文件 风险提示:木马    阻止
  2. 进程: c:\users\administrator\desktop\ppp下载\bckgzm\bckgzm.exe
  3. 目标: C:\Users\Administrator\Desktop\ppp下载\bckgzm\Funny!.reg
  4. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]《询问》f299_修改的非执行文件>a100 -> [文件]*; *.reg

  6. 2019/4/28 11:21:58    创建文件 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\ppp下载\bckgzm\bckgzm.exe
  8. 目标: C:\Program Files\EXPLORER.EXE
  9. 规则: [文件组]f060_行为防御 -> [文件]?:\program files

  11. 2019/4/28 11:22:01    创建新进程 风险提示:未知    允许
  12. 进程: c:\users\administrator\desktop\ppp下载\bckgzm\bckgzm.exe
  13. 目标: c:\program files\explorer.exe
  14. 命令行: "C:\Program Files\EXPLORER.EXE"
  15. 规则: [应用程序组]a2_appdata -> [应用程序]?:\program files\*

  17. 2019/4/28 11:22:06    创建新进程 风险提示:未知    允许
  18. 进程: c:\program files\explorer.exe
  19. 目标: c:\windows\regedit.exe
  20. 命令行: regedit /s C:\Program Files\Funny!.reg
  21. 规则: [应用程序]?* -> [子应用程序]c:\windows\regedit.exe

  23. 2019/4/28 11:22:10    删除文件 风险提示:木马    阻止
  24. 进程: c:\program files\explorer.exe
  25. 目标: C:\Program Files\Funny!.reg
  26. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]《询问》f299_修改的非执行文件>a100 -> [文件]*; *.reg

  28. 2019/4/28 11:22:21    创建注册表项 风险提示:未知    阻止
  29. 进程: c:\program files\explorer.exe
  30. 目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ShitMaker\Info
  31. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [注册表组]r930_Software黑名单键值

  33. 2019/4/28 11:22:21    修改文件 风险提示:木马    允许
  34. 进程: d:\program files\kugou\kugou.exe
  35. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\kugou.ini.bak
  36. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  38. 2019/4/28 11:22:21    创建注册表项 风险提示:未知    允许
  39. 进程: c:\program files\explorer.exe
  40. 目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings
  41. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [注册表]*

  43. 2019/4/28 11:22:24    创建注册表项 风险提示:未知    阻止
  44. 进程: c:\program files\explorer.exe
  45. 目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ShitMaker
  46. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [注册表组]r930_Software黑名单键值

  48. 2019/4/28 11:22:24    创建注册表项 风险提示:未知    阻止
  49. 进程: c:\program files\explorer.exe
  50. 目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ShitMaker\Info
  51. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [应用程序]c:\program files\explorer.exe -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

  53. 2019/4/28 11:22:24    创建注册表项 风险提示:未知    阻止
  54. 进程: c:\program files\explorer.exe
  55. 目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ShitMaker
  56. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [应用程序]c:\program files\explorer.exe -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

  58. 2019/4/28 11:22:35    设置文件夹隐藏属性 风险提示:木马    允许
  59. 进程: c:\program files\explorer.exe
  60. 目标: C:\2019-04
  61. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  63. 2019/4/28 11:22:37    创建文件 风险提示:低风险    允许
  64. 进程: c:\program files\explorer.exe
  65. 目标: C:\2019-04.exe
  66. 规则: [文件组]{安全级别:高}f1016_<3>启用《写入所有文件》<同时也要启用{安全级别:中123}> -> [文件]?:\*

  68. 2019/4/28 11:22:41    设置文件夹隐藏属性 风险提示:木马    阻止
  69. 进程: c:\program files\explorer.exe
  70. 目标: C:\FFOutput
  71. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  73. 2019/4/28 11:22:44    创建文件 风险提示:低风险    允许
  74. 进程: c:\program files\explorer.exe
  75. 目标: C:\FFOutput.exe
  76. 规则: [文件组]{安全级别:高}f1016_<3>启用《写入所有文件》<同时也要启用{安全级别:中123}> -> [文件]?:\*

  78. 2019/4/28 11:22:47    设置文件夹隐藏属性 风险提示:木马    阻止
  79. 进程: c:\program files\explorer.exe
  80. 目标: C:\Intel
  81. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  83. 2019/4/28 11:22:47    修改文件 风险提示:木马    允许
  84. 进程: d:\program files\kugou\kugou.exe
  85. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\kugou.ini.bak
  86. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  88. 2019/4/28 11:22:50    创建文件 风险提示:低风险    允许
  89. 进程: c:\program files\explorer.exe
  90. 目标: C:\Intel.exe
  91. 规则: [文件组]{安全级别:高}f1016_<3>启用《写入所有文件》<同时也要启用{安全级别:中123}> -> [文件]?:\*

  93. 2019/4/28 11:22:50    打开其他进程 风险提示:中等程度风险    阻止
  94. 进程: d:\program files\kugou\kugou.exe
  95. 目标: d:\program files\qq v8.9.4.21603 绿色优化版\bin\qq.exe
  96. 规则: [应用程序组]a012_★★★保险箱《防止资金被盗》★★★

  98. 2019/4/28 11:22:50    修改文件 风险提示:木马    允许
  99. 进程: d:\program files\kugou\8.3.26.21181\kgservice.exe
  100. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\servers.bin
  101. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  103. 2019/4/28 11:22:50    修改文件 风险提示:木马    允许
  104. 进程: d:\program files\kugou\kugou.exe
  105. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\net_option.ini
  106. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  108. 2019/4/28 11:22:50    修改文件 风险提示:木马    允许
  109. 进程: d:\program files\kugou\kugou.exe
  110. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\net_option.inicfg
  111. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  113. 2019/4/28 11:22:53    设置文件夹隐藏属性 风险提示:木马    阻止
  114. 进程: c:\program files\explorer.exe
  115. 目标: C:\PerfLogs
  116. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  118. 2019/4/28 11:22:55    创建文件 风险提示:低风险    允许
  119. 进程: c:\program files\explorer.exe
  120. 目标: C:\PerfLogs.exe
  121. 规则: [文件组]{安全级别:高}f1016_<3>启用《写入所有文件》<同时也要启用{安全级别:中123}> -> [文件]?:\*

  123. 2019/4/28 11:23:02    设置文件夹隐藏属性 风险提示:木马    阻止
  124. 进程: c:\program files\explorer.exe
  125. 目标: C:\Program Files
  126. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  128. 2019/4/28 11:23:04    创建文件 风险提示:低风险    允许
  129. 进程: c:\program files\explorer.exe
  130. 目标: C:\Program Files.exe
  131. 规则: [文件组]f062_行为防御3_禁读 -> [文件]*; program files.exe

  133. 2019/4/28 11:23:08    设置文件夹隐藏属性 风险提示:木马    阻止并结束进程
  134. 进程: c:\program files\explorer.exe
  135. 目标: C:\Users
  136. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]?:\*《任意文件夹》

  138. 2019/4/28 11:23:22    读文件 风险提示:低风险    阻止
  139. 进程: c:\windows\explorer.exe
  140. 目标: C:\Program Files.exe
  141. 规则: [应用程序]c:\windows\explorer.exe -> [文件组]f062_行为防御3_禁读 -> [文件]*; program files.exe

  143. 2019/4/28 11:23:22    修改文件 风险提示:木马    允许
  144. 进程: d:\program files\kugou\kugou.exe
  145. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\kugou.ini.bak
  146. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  148. 2019/4/28 11:23:22    创建文件 风险提示:低风险    允许
  149. 进程: d:\program files\kugou\kugou.exe
  150. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\KGMusicV3.db-journal
  151. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  153. 2019/4/28 11:23:22    创建文件 风险提示:低风险    允许
  154. 进程: d:\program files\kugou\kugou.exe
  155. 目标: C:\Users\Administrator\AppData\Local\Temp\etilqs_bycQUAw6hmBd62P
  156. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  158. 2019/4/28 11:23:22    删除文件 风险提示:木马    允许
  159. 进程: d:\program files\kugou\kugou.exe
  160. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\KGMusicV3.db-journal
  161. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  163. 2019/4/28 11:23:34    读文件 风险提示:低风险 (22)    阻止
  164. 进程: c:\windows\explorer.exe
  165. 目标: C:\Program Files.exe
  166. 规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\; program files.exe

  168. 2019/4/28 11:23:38    创建新进程 风险提示:未知    允许
  169. 进程: c:\program files.exe
  170. 目标: c:\windows\explorer.exe
  171. 命令行: explorer C:\Program Files
  172. 规则: [应用程序]* -> [子应用程序]*.exe

  174. 2019/4/28 11:23:43    创建新进程 风险提示:未知    允许
  175. 进程: c:\program files.exe
  176. 目标: c:\windows\regedit.exe
  177. 命令行: regedit /s C:\Funny!.reg
  178. 规则: [应用程序]?* -> [子应用程序]c:\windows\regedit.exe

  180. 2019/4/28 11:23:51    修改注册表值 风险提示:木马    阻止并结束进程
  181. 进程: c:\windows\regedit.exe
  182. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt
  183. 值:
  184. 规则: [注册表组]r018_系统文件关联 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

  186. 2019/4/28 11:23:51    修改文件 风险提示:木马    允许
  187. 进程: d:\program files\kugou\kugou.exe
  188. 目标: C:\Users\Administrator\AppData\Roaming\KuGou8\kugou.ini.bak
  189. 规则: [应用程序组]→《多数用户信任的文件<360社区中有数千名用户使用了此文件>》 -> [应用程序]?:\program files\kugou\* -> [文件]*

  191. 2019/4/28 11:23:54    删除文件 风险提示:木马    阻止
  192. 进程: c:\program files.exe
  193. 目标: C:\Funny!.reg
  194. 规则: [应用程序组]→a999_★安装程序_临时规则★ -> [文件组]《询问》f299_修改的非执行文件>a100 -> [文件]*; *.reg

  196. 2019/4/28 11:23:57    读文件 风险提示:低风险    允许
  197. 进程: c:\program files.exe
  198. 目标: C:\Program Files.exe
  199. 规则: [文件组]f062_行为防御3_禁读 -> [文件]*; program files.exe

  201. 2019/4/28 11:24:01    修改文件 风险提示:木马    允许
  202. 进程: c:\program files.exe
  203. 目标: C:\Program Files\EXPLORER.EXE
  204. 规则: [文件组]f060_行为防御 -> [文件]?:\program files

  206. 2019/4/28 11:24:05    创建新进程 风险提示:未知    阻止
  207. 进程: c:\program files.exe
  208. 目标: c:\program files\explorer.exe
  209. 命令行: "C:\Program Files\EXPLORER.EXE"
  210. 规则: [应用程序组]a2_appdata -> [应用程序]?:\program files\*

  212. 2019/4/28 11:24:09    读文件 风险提示:低风险 (7)    阻止
  213. 进程: c:\windows\explorer.exe
  214. 目标: C:\Program Files.exe
  215. 规则: [应用程序]c:\windows\explorer.exe -> [文件]c:\; program files.exe

复制代码

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 版区有你更精彩: )

查看全部评分

回复

举报

yzsts
发表于 2019-4-28 11:32:28 | 显示全部楼层
火绒全部清空
回复

举报

kaba666
发表于 2019-4-28 11:33:10 | 显示全部楼层
卡巴杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

温馨小屋
头像被屏蔽
发表于 2019-4-28 12:22:43 | 显示全部楼层
Norton
文件名: bckgzm.exe   威胁名称: W32.Topion.A
打开下载站的时候诺顿报毒



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yjwfdc
头像被屏蔽
发表于 2019-4-28 12:30:56 | 显示全部楼层
左手 发表于 2019-4-28 11:24

Funny!.reg 发上来看看吧。
回复

举报

独赢缠身
发表于 2019-4-28 13:23:09 | 显示全部楼层
avast  拦截下载
回复

举报

a8855942
发表于 2019-4-28 13:27:29 | 显示全部楼层
杀毒需要重启,难得看到FS提示重启的病毒。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

con16
发表于 2019-4-28 14:09:55 | 显示全部楼层
CAV 監控

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-18 22:27 , Processed in 0.139785 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表