Email-Worm.Win32.Iksmas. (來自垃圾邮件) 最后更新:486超过150个样本)

显示全部楼层 · 发表于 2009-1-12 15:27:41

2009-01-12 15:26:21 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:PromoReg
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-01-12 15:26:21 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:PromoReg
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2009-01-12 15:26:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\AUTOEXEC.BAT
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:26:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\boot.ini
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:26:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\bootfont.bin
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:26:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\CONFIG.SYS
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:26:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\diskpt0.sys
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:07 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\desktop.ini
触发规则:所有程序规则->特别位置及文件-共用->?:\Documents and Settings\*\程序\启动\*

2009-01-12 15:27:22 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop.ini
触发规则:所有程序规则->特别位置及文件-共用->?:\Documents and Settings\*\程序\启动\*

2009-01-12 15:27:23 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Documents and Settings\Default User\「开始」菜单\程序\启动\desktop.ini
触发规则:所有程序规则->特别位置及文件-共用->?:\Documents and Settings\*\程序\启动\*

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\IO.SYS
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\MSDOS.SYS
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\NTDETECT.COM
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\ntldr
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:24 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\pagefile.sys
触发规则:所有程序规则->特别位置及文件-共用->%SystemDrive%\*

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Program Files\Ahead\CoverDesigner\NeroCoverDesigner_chs.chm
触发规则:所有程序规则->禁止文件类型->%systemdrive%\*.chm

2009-01-12 15:27:24 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Program Files\Ahead\ImageDrive\ImageDrive.cpl
触发规则:所有程序规则->禁止文件类型->%SystemDrive%\*.cpl

2009-01-12 15:27:24 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\桌面\card8.exe
文件路径:C:\Program Files\Ahead\Nero\neckver.bat
触发规则:所有程序规则->禁止文件类型->%SystemDrive%\*.bat

连了美国/加拿大

显示全部楼层 · 发表于 2009-1-12 15:27:58

f6e6bd1cfb5b6841f1ece10bd2b88eba card.exe

to kl

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Email-Worm.Win32.Iksmas.bs

[ 本帖最后由 sam.to 于 2009-1-12 15:37 编辑 ]

显示全部楼层 · 发表于 2009-1-12 15:30:11

更新的这么快啊~~~~~~~~~~~~~~~~

显示全部楼层 · 发表于 2009-1-12 15:35:47

原帖由 sam.to 于 2009-1-12 15:27 发表
f6e6bd1cfb5b6841f1ece10bd2b88eba card.exe

to kl

这一次没反应了。。。
只连了个网。。。。。
挂那里了

2009-01-12 15:30:39 注册表保护(创建注册表值) 操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\card.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:PromoReg

显示全部楼层 · 发表于 2009-1-12 15:36:02

相信52楼的跟我的來源並不一样

显示全部楼层 · 发表于 2009-1-12 15:36:45

64楼的是什么軟件?

显示全部楼层 · 发表于 2009-1-12 15:37:23

原帖由 sam.to 于 2009-1-12 15:36 发表
64楼的是什么軟件?

EQ+风云防火墙

显示全部楼层 · 发表于 2009-1-12 15:38:11

原帖由 sam.to 于 2009-1-12 15:36 发表
相信52楼的跟我的來源並不一样

网址不一样，但是下载的东西都是一样的，只是有的网址更新速度快，有的更新速度慢罢了

显示全部楼层 · 发表于 2009-1-12 15:40:54

大陸的email並不常見,佔计是那些美国人租了中国的server

显示全部楼层 · 发表于 2009-1-13 02:40:01

手头上没有MD5检验工具，但卡巴+NOD32不报
应该是新的吧

[病毒样本] Email-Worm.Win32.Iksmas. (來自垃圾邮件) 最后更新:486超过150个样本)

本帖子中包含更多资源

本帖子中包含更多资源

回复 63楼 dreams521 的帖子

回复 68楼 EQ2 的帖子

本帖子中包含更多资源