不小心实机运行了,后果很严重......

显示全部楼层 · 发表于 2009-9-7 16:20:31

不停向system32目录写入dll文件，创建注册表服务项。

2009-09-07 16:13:50 创建文件    操作:阻止
进程路径:E:\my_url\my_url.exe
文件路径:C:\WINDOWS\system32\pchsvc.dll
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.dll

2009-09-07 16:13:52 修改文件    操作:阻止
进程路径:E:\my_url\my_url.exe
文件路径:C:\WINDOWS\system32\regsvc.dll
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.dll

2009-09-07 16:13:53 修改文件    操作:阻止
进程路径:E:\my_url\my_url.exe
文件路径:C:\WINDOWS\system32\schedsvc.dll
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.dll

2009-09-07 16:13:54 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2009-09-07 16:13:56 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ias
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2009-09-07 16:13:57 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

[ 本帖最后由 hddu 于 2009-9-8 07:38 编辑 ]

显示全部楼层 · 发表于 2009-9-7 16:33:51

TO KL,LL,eset,mcafee,antivir

The file 'my_url.ex2e' has been determined to be 'UNDER ANALYSIS'.

http://samples.nod32.com.hk/inde ... 08deaa3e091a3bafd1e

[ 本帖最后由 sam.to 于 2009-9-7 16:36 编辑 ]

显示全部楼层 · 发表于 2009-9-7 17:18:30

2009/9/7 17:13:44 加载动态链接库允许
进程: f:\下载\my_url\my_url.exe
目标: c:\windows\system32\comctl32.dll
规则: [应用程序]* -> [动态链接库]*

2009/9/7 17:13:44 加载动态链接库允许
进程: f:\下载\my_url\my_url.exe
目标: c:\windows\system32\sfc_os.dll
规则: [应用程序]* -> [动态链接库]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: AeLookupSvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Themes
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: CertPropSvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: SCPolicySvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: lanmanserver
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: gpsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: IKEEXT
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: AudioSrv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: FastUserSwitchingCompatibility
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Ias
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Irmon
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Nla
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Ntmssvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: NWCWorkstation
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Nwsapagent
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Rasauto
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Rasman
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Remoteaccess
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:44 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: SENS
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Sharedaccess
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: SRService
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Tapisrv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: Wmi
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: WmdmPmSp
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: TermService
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: wuauserv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: BITS
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: ShellHWDetection
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: LogonHours
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: PCAudit
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: helpsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: uploadmgr
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: iphlpsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: seclogon
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: AppInfo
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: msiscsi
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: MMCSS
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: ProfSvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: EapHost
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: winmgmt
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: schedule
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: SessionEnv
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: browser
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: hkmsvc
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 安装驱动程序或服务阻止
进程: f:\下载\my_url\my_url.exe
目标: AppMgmt
文件路径: %SystemRoot%\System32\svchost.exe -k netsvcs
规则: [应用程序]*

2009/9/7 17:13:45 创建文件允许
进程: f:\下载\my_url\my_url.exe
目标: C:\Users\Administrator\AppData\Local\Temp\Cls.bat
规则: [应用程序]* -> [文件组]允许文件

2009/9/7 17:13:45 加载动态链接库允许
进程: f:\下载\my_url\my_url.exe
目标: c:\windows\system32\apphelp.dll
规则: [应用程序]* -> [动态链接库]*

2009/9/7 17:13:45 创建新进程阻止
进程: f:\下载\my_url\my_url.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\Users\ADMINI~1\AppData\Local\Temp\Cls.bat
规则: [应用程序]* -> [子应用程序]*

[ 本帖最后由 wmcxdb 于 2009-9-7 17:23 编辑 ]

显示全部楼层 · 发表于 2009-9-7 17:30:57

沙盘里面运行不了的说，TF没有反应。

显示全部楼层 · 发表于 2009-9-7 17:31:12

cls.bat内容，无危险吧？

:DELFILE
del "F:\下载\my_url\my_url.exe"
if exist "F:\下载\my_url\my_url.exe" goto DELFILE
del "C:\Users\ADMINI~1\AppData\Local\Temp\Cls.bat"

显示全部楼层 · 发表于 2009-9-7 17:50:43

Hello,

my_url.ex2e - Trojan-Dropper.Win32.Agent.bcho

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

显示全部楼层 · 发表于 2009-9-7 18:04:06

不想点了直接隔离

显示全部楼层 · 发表于 2009-9-7 18:09:16

年轻人比较冲动，

显示全部楼层 · 发表于 2009-9-7 21:37:06

The file 'my_url.ex2e' has been determined to be 'MALWARE'. Our analysts named the threat TR/Drop.Agent.dqi. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

显示全部楼层 · 发表于 2009-9-7 22:12:46

过熊猫

[可疑文件] 不小心实机运行了,后果很严重......

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源