VIDEO.EXE动作分析日记,附上生成物!!!过全世界杀软.............!!!!!

fsl

创建键HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\
创建键HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\
创建键HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR5
  由  修改为 zKNHAfs6S7TsckhcM+9PXR8=
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR9
  由  修改为 yq9ZFK1vVr/odAJVKaNeUwD5QHmVU7y4mg4MI/BXU5u/nC0DYgAYeVkBOiNLZeI2b7wDQ5WI7Y/tVjPBrdLQuU0=
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR6
  由  修改为 gKFdEw==
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR7
  由  修改为 ga9ZFK1vCPLtfEhWbqZFVA==
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR8
  由  修改为 lw==
创建C:\DOCUMENTS AND SETTINGS\FWAS\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT
创建C:\DOCUMENTS AND SETTINGS\FWAS\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT
创建C:\DOCUMENTS AND SETTINGS\FWAS\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR4
  由  修改为
创建C:\DOCUME~1\FWAS\LOCALS~1\TEMP\~TMPA.EXE
修改C:\DOCUME~1\FWAS\LOCALS~1\TEMP\~TMPA.EXE

启动C:\DOCUME~1\FWAS\LOCALS~1\TEMP\~TMPA.EXE

修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\STR0

  由  修改为 krRbGr40cdS9cEBXJqhLDHiJZyaeUf26gwlRNeBWQtmiwC0McQYPc1kBOiNbKe80Y7oPXobujeSjUy7V4tjR6gjtrETCrXD1DxL/PzvVltSGyRc2w4n/izlDT9dkWzS

修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\INT2
  由 0 修改为 29974496
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MOZILLA\MSFOX\INT3
  由 0 修改为 2463877184

修改 HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\MSFOX
  由  修改为 C:\Documents and Settings\fwas\桌面\1.exe

[ 本帖最后由 fsl 于 2008-12-17 09:19 编辑 ]

啊弥陀佛

微点拦截

su-tt

上报ESET

尤金卡巴斯基

To KL

Nblock

Microsoft

1.4205

2008.12.17

TrojanDownloader:Win32/Renos.DY

微点发现未知后门

xyao

阻止

xiaochi12

TINY么，還是CA
忘了是什麽HIPS

xyao

原帖由 xiaochi12 于 2008-12-17 13:55 发表
TINY么，還是CA
忘了是什麽HIPS

是CA

Mr.Z

原帖由 xiaochi12 于 2008-12-17 13:55 发表
TINY么，還是CA
忘了是什麽HIPS

也就是tiny了

ch00962610

这东西连vista自带的windows defender都能杀 还过全世界杀软 汗