Plugin---.exe 请帮忙分析一下此程序的行为

显示全部楼层 · 发表于 2009-6-4 09:49:46

06/04/09 09:45:07 C:\Documents and Settings\sk\桌面\virus\4\Plugin---.exe 修改注册表键 HKUS\SANDBOX_SK_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu
06/04/09 09:45:18 C:\Documents and Settings\sk\桌面\virus\4\Plugin---.exe 修改注册表键 HKUS\SANDBOX_SK_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
06/04/09 09:45:23 C:\Documents and Settings\sk\桌面\virus\4\Plugin---.exe 修改注册表键 HKUS\SANDBOX_SK_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
06/04/09 09:45:28 C:\Documents and Settings\sk\桌面\virus\4\Plugin---.exe 修改注册表键 HKUS\SANDBOX_SK_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

显示全部楼层 · 发表于 2009-6-4 10:22:30

过avast4.8

显示全部楼层 · 发表于 2009-6-4 10:50:41

执行这个程序时 Mamutu 检测到一个可疑的恶意行为。该程序企图模拟鼠标移动和点击或键盘活动。恶意软件利用这一技术关闭或远程控制安全软件和其他程序。如果不是您有意启动上述程序，那么建议您终止该程序并将其移到隔离区。如果您了解这个程序，并且确认它没有危害，那么请单击“允许此行为”或者“从保护中排除”。

显示全部楼层 · 发表于 2009-6-4 12:02:03

Letzte Infektion: bbs.kafan.cn
Infiziert mit: Gen:Trojan.Heur.6055AA8B8B

显示全部楼层 · 发表于 2009-6-4 14:47:57

原帖由 feihongtian 于 2009-6-4 09:49 发表
06/04/09 09:45:07 C:\Documents and Settings\sk\桌面\virus\4\Plugin---.exe 修改注册表键 HKUS\SANDBOX_SK_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Me ...

谢谢，但是它修改了快速启动栏里面的快捷方式，还修改了桌面ie启动项为一个冒名顶替的ie快捷方式，为什么没有捕捉到啊，我用在线沙盘也没有找到，晕～

显示全部楼层 · 发表于 2009-6-4 14:48:52

virusname: Gen.Trojan

显示全部楼层 · 发表于 2009-6-4 19:46:40

原帖由 xlfq3136 于 2009-6-4 10:50 发表
执行这个程序时 Mamutu 检测到一个可疑的恶意行为。该程序企图模拟鼠标移动和点击或键盘活动。恶意软件利用这一技术关闭或远程控制安全软件和其他程序。如果不是您有意启动上述程序，那么建议您终止该程序并将其移到 ...

这位xd，经过反复真机试验，我发现它修改了快速启动栏里面的ie快捷方式，加了一个网站地址作为参数，同时还修改了桌面ie启动项为不可见，然后用一个带参数的ie快捷方式来冒名顶替，以达到骗取点击和ip流量的目的，目前还没有发现修改ie主页的行为，但以上两个动作均未被mamutu拦截，请自己检查一下你的计算机，手动改回原样吧，为此带来不便，深感抱歉，同时也提示我们一个重要信息，mamutu等hips也不是万能的，呵呵

显示全部楼层 · 发表于 2009-6-4 20:34:44

原帖由 lqmouse 于 2009-6-4 19:46 发表

同时也提示我们一个重要信息，mamutu等hips也不是万能的，呵呵

...

hips不是防不住,只是规则没有防这样的修改,你的是一个错误的结论.

2009-06-04 20:27:48 删除文件    操作:阻止
进程路径:D:\Plugin---\Plugin---.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
触发规则:所有程序规则->040_行为防御->*Internet Explorer.lnk

2009-06-04 20:27:48 删除文件    操作:允许
进程路径:D:\Plugin---\Plugin---.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->040_行为防御x->C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*.lnk

2009-06-04 20:27:50 创建文件    操作:阻止
进程路径:D:\Plugin---\Plugin---.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Exp1orer 浏览器.lnk
触发规则:所有程序规则->040_行为防御x->C:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*.lnk

显示全部楼层 · 发表于 2009-6-4 20:57:13

to McAfee

显示全部楼层 · 发表于 2009-6-4 22:03:25

原帖由 yjwfdc 于 2009-6-4 20:34 发表

hips不是防不住,只是规则没有防这样的修改,你的是一个错误的结论.

2009-06-04 20:27:48 删除文件操作:阻止
进程路径:D:\Plugin---\Plugin---.exe
文件路径:C:\Documents and Settings\Administrator ...

多谢提醒，我忘记将mamutu的防护等级提到最高了，呵呵

[可疑文件] Plugin---.exe 请帮忙分析一下此程序的行为

回复 8楼 lqmouse 的帖子