杀软全过的一个样本

fengtaks

to Microsoft malware protection center

Palkia

用楼主提供的样本

运行后，除了联网

没有发现修改主页和替换、生成动作

运行一会后自动退出进程，期间也没有调用或启动其他任何程序

yyylll66

原帖由 Palkia 于 2009-9-26 15:12 发表
用楼主提供的样本

运行后，除了联网

没有发现修改主页和替换、生成动作

运行一会后自动退出进程，期间也没有调用或启动其他任何程序

要加载服务！

悠柚

看我的图，服务已经启动了，但是还是没有后续的动作

Palkia

样本是否已经被处理过了？

例如杀软发现时执行了清除操作

yyylll66

未处理，没装杀软，何况杀软也不报！

给你们一个方法，将样本放system32下，拷贝下面到记事本，保存为.reg导入注册表后重启试试？


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window_KuBo]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
  5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,4b,00,75,00,42,\
  00,6f,00,5f,00,4a,00,73,00,2e,00,65,00,78,00,65,00,00,00
"DisplayName"="Window_KuBo"
"ObjectName"="LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window_KuBo\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window_KuBo\Enum]
"0"="Root\\LEGACY_WINDOW_KUBO\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

hover421

原帖由 yyylll66 于 2009-9-26 15:28 发表
未处理，没装杀软，何况杀软也不报！

给你们一个方法，将样本放system32下，拷贝下面到记事本，保存为.reg导入注册表后重启试试？


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYS ...

看来还得帮病毒一把才行[:27:]

Palkia

一样的结果~

youmingshi

过avira eset

尤金卡巴斯基

To KL