求各位在沙盘运行这个程序

显示全部楼层 · 发表于 2008-7-21 12:22:24

过了江民费尔报了。

显示全部楼层 · 发表于 2008-7-21 12:22:57

Threat Category	Description
	A malicious backdoor trojan that runs in the background and allows remote access to the compromised system

The following files were created in the system:

#	Filename(s)	File Size	File MD5	Alias
1	%System%\AccountsManager.exe	349,184 bytes	0xB439D7074B3FA44BE41883BCDB3B797E	Backdoor.Graybird!Gen [Symantec]New Malware.gr [McAfee]
2	[file and pathname of the sample #1]	395,540 bytes	0x6551E9847980401E94288745B67D9C8E	(not available)

[ 本帖最后由 hj5abc 于 2008-7-21 12:24 编辑 ]

显示全部楼层 · 发表于 2008-7-21 12:25:30

There were new processes created in the system:

Process Name	Process Filename	Main Module Size
AccountsManager.exe	%System%\AccountsManager.exe	909,916 bytes
manage.exe	%Windir%\manage.exe	909,916 bytes

There was a new service created in the system:

Service Name	Display Name	Status	Service Filename
ÏµÍ³ï¿½Ã»ï¿½ï¿½Ê»ï¿½ï¿½ï¿½ï¿½ï¿½	System Accounts Manager	"Stopped"	%System%\AccountsManager.exe

显示全部楼层 · 发表于 2008-7-21 12:30:26

金山毒霸 0

显示全部楼层 · 发表于 2008-7-21 12:44:07

这么毒,谢谢

显示全部楼层 · 发表于 2008-7-21 17:36:39

这家伙老了...~

显示全部楼层 · 发表于 2008-7-22 01:08:25

Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://bbs.kafan.cn/attachment.p ... be&t=1216660093
Information: Is the TR/Dldr.Zlob.siz.11 Trojan

Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.11, VDF 7.0.5.146

显示全部楼层 · 发表于 2008-7-22 01:28:19

2008-07-22 00:38:32 应用程序保护已经开启.

2008-07-22 00:38:32 注册表保护已经开启.

2008-07-22 00:38:32 文件保护已经开启.

2008-07-22 01:15:19 修改注册表内容    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1
注册表名称:CacheLimit
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:19 修改注册表内容    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2
注册表名称:CacheLimit
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:20 修改注册表内容    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3
注册表名称:CacheLimit
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:21 修改注册表内容    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4
注册表名称:CacheLimit
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:23 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:24 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:26 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:27 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:28 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:29 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:31 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:32 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:33 删除注册表    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:34 删除注册表    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:35 删除注册表    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:36 修改注册表内容    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 01:15:40 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IMWLMNX7\confirm[1].htm
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:42 删除文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IMWLMNX7\confirm[1].htm
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:45 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dssc32.exe.bat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:52 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IMWLMNX7\Antivirus2008PRO[1].exe
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:15:54 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dssc32.exe
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:16:42 运行应用程序    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dssc32.exe.bat
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 01:16:43 删除注册表    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dssc32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
注册表名称:[Key]
触发规则:所有程序规则->行为防御-低-->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW

2008-07-22 01:16:45 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php.bat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:16:52 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\R7UZVNOC\WebSoftCodecDrivern[1].exe
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:16:57 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:17:54 运行应用程序    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s1265.php.bat
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 01:17:56 运行应用程序    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/Q  /C "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ac8zt2\install.bat"
触发规则:所有程序规则->行为防御-低-->*\cmd.exe

2008-07-22 01:18:54 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php.bat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:18:57 创建文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8LMBOPE3\WebSoftCodecDrivern[1].exe
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:18:58 修改文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:19:41 删除文件    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\R7UZVNOC\WebSoftCodecDrivern[1].exe
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 01:19:42 运行应用程序    操作:允许
进程路径:D:\2\Setup_ver1[1].113.0\Setup_ver1.113.0.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s1265.php.bat
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 01:19:45 运行应用程序    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\s1265.php
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/Q  /C "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ac8zt2\install.bat"
触发规则:所有程序规则->行为防御-低-->*\cmd.exe

显示全部楼层 · 发表于 2008-7-22 09:25:08

f-secure

显示全部楼层 · 发表于 2008-7-22 09:27:19

小A华丽地MISS了

[病毒样本] 求各位在沙盘运行这个程序

回复 13楼 hj5abc 的帖子

本帖子中包含更多资源