一个苏拉病毒

ziyerain2015

蓝天二号

歌德塔

病毒: Win32.Sola.Gen (引擎A), Win32.Trojan.Agent.13ROXW, Win32.Trojan.Agent.UIKUXT (引擎B)

文件被移动到隔离区。

文件: 宅男病毒.exe
目录: C:\Users\Mr.\Desktop\新建文件夹

www-tekeze

智量报BackDoor

c/mm

aqingge2012

avast灭之

GGlin

Vmware测试一下

kikkwen

VMware测试啥也没发生，系统是WindowsXP

我是电脑迷

kikkwen 发表于 2019-7-26 10:33
VMware测试啥也没发生，系统是WindowsXP

要启动50次才会启动死亡模式

左手

1. 2019/7/27 星期六 09:01:07    创建文件 风险提示:低风险    允许
   
2. 进程: c:\users\administrator\desktop\宅男病毒.exe
   
3. 目标: C:\Users\Administrator\Desktop\__tmp_rar_sfx_access_check_1312966
   
4. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
   
5. 
   
6. 2019/7/27 星期六 09:01:11    创建文件 风险提示:低风险    允许
   
7. 进程: c:\users\administrator\desktop\宅男病毒.exe
   
8. 目标: C:\Users\Administrator\Desktop\Function.dll
   
9. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
   
10. 
    
11. 2019/7/27 星期六 09:01:13    设置文件隐藏属性 风险提示:木马    允许
    
12. 进程: c:\users\administrator\desktop\宅男病毒.exe
    
13. 目标: C:\Users\Administrator\Desktop\SOLA_2.0_6483999524724.bat
    
14. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat
    
15. 
    
16. 2019/7/27 星期六 09:01:17    设置文件隐藏属性 风险提示:木马    允许
    
17. 进程: c:\users\administrator\desktop\宅男病毒.exe
    
18. 目标: C:\Users\Administrator\Desktop\新建 文本文档.txt
    
19. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt
    
20. 
    
21. 2019/7/27 星期六 09:01:26    创建新进程 风险提示:未知    允许
    
22. 进程: c:\users\administrator\desktop\宅男病毒.exe
    
23. 目标: c:\windows\system32\mshta.exe
    
24. 命令行: "C:\Windows\System32\mshta.exe" "javascript:new ActiveXObject('WScript.Shell').Run('SOLA_2.0_6483999524724.bat',0);window.close()"
    
25. 规则: [应用程序]* -> [子应用程序]→a003_☆《不可信任组》_潜在不受欢迎的木马病毒☆ -> [应用程序]*\mshta.exe
    
26. 
    
27. 2019/7/27 星期六 09:01:36    创建新进程 风险提示:未知    允许
    
28. 进程: c:\windows\system32\mshta.exe
    
29. 目标: c:\windows\system32\cmd.exe
    
30. 命令行: C:\windows\system32\cmd.exe /c ""C:\Users\Administrator\Desktop\SOLA_2.0_6483999524724.bat" "
    
31. 规则: [应用程序]c:\windows\* -> [子应用程序]→a003_☆《不可信任组》_潜在不受欢迎的木马病毒☆ -> [应用程序]*\cmd.exe
    
32. 
    
33. 2019/7/27 星期六 09:01:36    修改系统时间 风险提示:高风险    阻止
    
34. 进程: c:\windows\system32\cmd.exe
    
35. 新时间: 2019/7/27 星期六 09:01:34
    
36. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe
    
37. 
    

复制代码