12.exe

挪威的冬天

金山毒霸 0

BING126

McAfee  MISS

hahacomcn

Begin scan in 'C:\Documents and Settings\haha\桌面\12.zip'
C:\Documents and Settings\haha\桌面\12.zip
  [0] Archive type: ZIP
  --> 12.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Hupig.FGT.26624 Backdoor server programs
      [NOTE]      A backup was created as '48a40900.qua'  ( QUARANTINE )

icedream89

2008-7-10 21:33:25        !**************************************************
                        Safe'n'Sec 警报
                        行为
                        时间: 2008-7-10 21:33:21
                        类型: 在其他进程内创建远程威胁
                        风险: 高
                       
                        行为监控规则
                        名称:  
                       
                        程序
                        PPID: 1488
                        PP: EXPLORER.EXE
                        PID: 3212
                        文件: D:\MY DOCUMENTS\12\12.EXE
                        UID: PC-200807081352\Administrator
                       
                        目标进程
                        PPID: 1484
                        PP: USERINIT.EXE
                        PID: 1488
                        进程: C:\WINDOWS\EXPLORER.EXE
                       
                        技术说明
                        创建远程威胁功能引起一个新的可执行威胁在一个可执行的进程的虚拟内存地址中。威胁可以访问这个向这个进程开放的全部目标。新的威胁对旧的进程创建一个新的完全的访问。如果没有按照安全描述，句柄会被威胁的句柄作为任何行为的工具。当按照安全描述产生时，一个访问检查会被执行，检查全部的句柄请求。如果访问检查阻止了访问，发出申请的进程就不会被威胁进程插入。这个进程交换功能会被管理员工具使用，一般的软件不会使用这个功能插入其他软件进程。
                        但是，可疑程序会指定插入自身进入其他进程的内存地址并运行他们自身的代码在这个安全进程的掩护下。所以，如果这个进程序不是管理员工具，或者您并不清楚，总是阻止全部的行为对这个程序。
                        用户操作:        阻止
                        ***************************************************
2008-7-10 21:33:28        !**************************************************
                        Safe'n'Sec 警报
                        行为
                        时间: 2008-7-10 21:33:25
                        类型: 编辑一个文件/目录
                        风险: 中等
                       
                        程序
                        PID: 3212
                        PPID: 1488
                        UID: PC-200807081352\Administrator
                        文件：D:\MY DOCUMENTS\12\12.EXE
                       
                        对象
                        文件/目录: C:\WINDOWS\SYSTEM32\12.EXE
                        用户操作:        阻止
                        ***************************************************
2008-7-10 21:33:31        !**************************************************
                        Safe'n'Sec 警报
                        行为
                        日期和时间: 2008-7-10 21:33:28
                        类型: 添加一个新的系统服务
                        风险: 中等
                       
                        行为控制规则
                        名称:  
                       
                        程序
                        PID: 3212
                        PPID: 1488
                        UID: PC-200807081352\Administrator
                        文件: D:\MY DOCUMENTS\12\12.EXE
                       
                        服务
                        名称: WINDOWS_0
                        描述: WINDOWS ACCOUNTS DRIVER
                        类型: 16
                        启动类型: 2
                        文件: C:\WINDOWS\SYSTEM32\12.EXE
                        依存关系:
                        用户:
                        用户操作:        阻止
                        ***************************************************
2008-7-10 21:33:34        !**************************************************
                        Safe'n'Sec 警报
                        行为
                        时间: 2008-7-10 21:33:31
                        类型: 查看一个文件/目录
                        风险: 中等
                       
                        程序
                        PID: 3212
                        PPID: 1488
                        UID: PC-200807081352\Administrator
                        文件：D:\MY DOCUMENTS\12\12.EXE
                       
                        对象
                        文件/目录: C:\WINDOWS\SYSTEM32\CMD.EXE
                        用户操作:        阻止
                        ***************************************************