收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 流氓 4/ 41 (9.8%) 高质量
1234下一页
返回列表 发新帖
楼主: post8
 收起左侧

[病毒样本] 流氓 4/ 41 (9.8%) 高质量

  [复制链接]
Lgwu
头像被屏蔽
发表于 2010-8-28 17:51:09 | 显示全部楼层
回复


    运行了悲剧了
小淘气 发表于 2010.8.28 14:14


从日志看,应该是金锁类的恶意程序。虚拟机突然不能上网。无法测试360.
回复

举报

小淘气
头像被屏蔽
发表于 2010-8-28 17:54:11 | 显示全部楼层
回复 21楼 Lgwu  的帖子


    ...不能上网、、、用  可牛弄好了
回复

举报

Lgwu
头像被屏蔽
发表于 2010-8-28 18:05:46 | 显示全部楼层
回复 22楼 小淘气  的帖子

不能上网,样本联网部分动作无法获取到。360卫士云引擎无法应用。
所以无法测试是否完美拦截。暂不打算实机测试。

MD记录到如下动作(联网部分空缺):
  1. 2010-8-28 17:40:27    创建文件    允许
  2. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  3. 目标: C:\Documents and Settings\All Users\Application Data\wd\kwssp.dll
  4. 规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.dll

  6. 2010-8-28 17:40:28    创建文件    允许
  7. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  8. 目标: C:\Documents and Settings\All Users\Application Data\wd\KSWebShield.exe
  9. 规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.exe

  11. 2010-8-28 17:40:29    创建文件    允许
  12. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  13. 目标: C:\Documents and Settings\All Users\Application Data\wd\kswebshield.dll
  14. 规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.dll

  16. 2010-8-28 17:40:30    创建文件    允许
  17. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  18. 目标: C:\Documents and Settings\All Users\Application Data\wd\kswbc.dll
  19. 规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.dll

  21. 2010-8-28 17:40:31    创建文件    允许
  22. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  23. 目标: C:\Documents and Settings\All Users\Application Data\wd\kwsui.dll
  24. 规则: [文件组]系统文件夹写保护(拒绝创建) -> [文件]c:\documents and settings\*; *.dll

  26. 2010-8-28 17:40:33    创建新进程    允许
  27. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  28. 目标: c:\documents and settings\administrator\local settings\temp\nss4.tmp\ns5.tmp
  29. 命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nss4.tmp\ns5.tmp" cmd.exe /c  "C:\Documents and Settings\All Users\Application Data\wd\u.bat"
  30. 规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [子应用程序]*temp\*.tmp

  32. 2010-8-28 17:40:34    创建新进程    允许
  33. 进程: c:\documents and settings\administrator\local settings\temp\nss4.tmp\ns5.tmp
  34. 目标: c:\windows\system32\conime.exe
  35. 命令行: C:\WINDOWS\system32\conime.exe
  36. 规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

  38. 2010-8-28 17:40:35    创建新进程    允许
  39. 进程: c:\documents and settings\administrator\local settings\temp\nss4.tmp\ns5.tmp
  40. 目标: c:\windows\system32\cmd.exe
  41. 命令行: cmd.exe /c  "C:\Documents and Settings\All Users\Application Data\wd\u.bat"
  42. 规则: [应用程序组]4D规则-安装进程例外规则 -> [应用程序]*temp\*.tmp -> [子应用程序]c:\windows\system32\cmd.exe

  44. 2010-8-28 17:40:36    创建新进程    允许
  45. 进程: c:\windows\system32\cmd.exe
  46. 目标: c:\documents and settings\all users\application data\wd\kswebshield.exe
  47. 命令行: KSWebShield.exe -install
  48. 规则: [应用程序组]所有程序规则-外部程序执行规则 -> [应用程序]* -> [子应用程序]*\documents and settings\*\application data\*

  50. 2010-8-28 17:40:38    创建文件    允许
  51. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  52. 目标: C:\WINDOWS\system32\txb.ico
  53. 规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

  55. 2010-8-28 17:40:39    创建文件    允许
  56. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  57. 目标: C:\WINDOWS\system32\xxyx.ico
  58. 规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

  60. 2010-8-28 17:40:39    创建文件    允许
  61. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  62. 目标: C:\WINDOWS\system32\i_e.ico
  63. 规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

  65. 2010-8-28 17:40:40    创建文件    允许
  66. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  67. 目标: C:\Documents and Settings\All Users\桌面\在线_游戏.url
  68. 规则: [文件组]文件安全读写规则(询问创建) -> [文件]*桌面; *.url

  70. 2010-8-28 17:40:41    创建文件    允许
  71. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  72. 目标: C:\Documents and Settings\All Users\桌面\网上淘宝.url
  73. 规则: [文件组]文件安全读写规则(询问创建) -> [文件]*桌面; *.url

  75. 2010-8-28 17:40:41    安装全局消息钩子    允许
  76. 进程: c:\documents and settings\all users\application data\wd\kswebshield.exe
  77. 目标: c:\documents and settings\all users\application data\wd\kwsui.dll
  78. 钩子类型: WH_CBT
  79. 规则: [应用程序组]所有程序规则-应用程序扩展规则 -> [应用程序]* -> [钩子模块]*\*documents*\*.dll

  81. 2010-8-28 17:40:42    创建文件    允许
  82. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  83. 目标: C:\Documents and Settings\Administrator\Favorites\链接\艾迪深度搜索.url
  84. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  86. 2010-8-28 17:40:43    创建文件    允许
  87. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  88. 目标: C:\Documents and Settings\Administrator\Favorites\链接\十一街单机游戏.url
  89. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  91. 2010-8-28 17:40:43    创建文件    允许
  92. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  93. 目标: C:\Documents and Settings\Administrator\Favorites\链接\淘宝特卖.url
  94. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  96. 2010-8-28 17:40:44    创建文件    允许
  97. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  98. 目标: C:\Documents and Settings\Administrator\Favorites\链接\团购_秒杀网.url
  99. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  101. 2010-8-28 17:40:45    创建文件    允许
  102. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  103. 目标: C:\Documents and Settings\Administrator\Favorites\链接\在线言情小说阅读.url
  104. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  106. 2010-8-28 17:40:46    创建文件    允许
  107. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  108. 目标: C:\Documents and Settings\Administrator\Favorites\88yy在线小游戏.url
  109. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  111. 2010-8-28 17:40:48    创建文件    允许
  112. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  113. 目标: C:\Documents and Settings\Administrator\Favorites\艾迪深度搜索.url
  114. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  116. 2010-8-28 17:40:49    创建文件    允许
  117. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  118. 目标: C:\Documents and Settings\Administrator\Favorites\十一街单机游戏.url
  119. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  121. 2010-8-28 17:40:50    创建文件    允许
  122. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  123. 目标: C:\Documents and Settings\Administrator\Favorites\淘宝特卖.url
  124. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  126. 2010-8-28 17:40:51    创建文件    允许
  127. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  128. 目标: C:\Documents and Settings\Administrator\Favorites\团购_秒杀网.url
  129. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  131. 2010-8-28 17:40:52    创建文件    允许
  132. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  133. 目标: C:\Documents and Settings\Administrator\Favorites\在线言情小说阅读.url
  134. 规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

  136. 2010-8-28 17:40:53    从其他进程复制句柄    允许
  137. 进程: c:\windows\system32\svchost.exe
  138. 目标: c:\documents and settings\all users\application data\wd\kswebshield.exe
  139. 句柄: (Key) \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
  140. 规则: [应用程序]c:\windows\system32\svchost.exe

  142. 2010-8-28 17:40:54    修改注册表值    允许
  143. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  144. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
  145. 值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
  146. 规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache

  148. 2010-8-28 17:40:55    修改注册表值    允许
  149. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  150. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
  151. 值: C:\Documents and Settings\Administrator\Cookies
  152. 规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies

  154. 2010-8-28 17:40:55    修改注册表值    允许
  155. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  156. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
  157. 值: C:\Documents and Settings\Administrator\Local Settings\History
  158. 规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; History

  160. 2010-8-28 17:40:57    修改注册表值    允许
  161. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  162. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\Internet Explorer\iexplore.exe
  163. 值: Internet Explorer
  164. 规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

  166. 2010-8-28 17:41:02    向其他进程发送消息    允许
  167. 进程: c:\program files\internet explorer\iexplore.exe
  168. 目标: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  169. 消息: 0x03E4
  170. 规则: [应用程序]*

  172. 2010-8-28 17:41:05    创建新进程    允许
  173. 进程: c:\documents and settings\administrator\桌面\soft_itsetup.exe
  174. 目标: c:\windows\system32\cmd.exe
  175. 命令行: "C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 6 & del "C:\Documents and Settings\Administrator\桌面\soft_itsetup.exe"
  176. 规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

  178. 2010-8-28 17:41:11    删除文件    允许
  179. 进程: c:\windows\system32\cmd.exe
  180. 目标: C:\Documents and Settings\Administrator\桌面\soft_itsetup.exe
  181. 规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

复制代码
回复

举报

Lgwu
头像被屏蔽
发表于 2010-8-28 18:07:25 | 显示全部楼层
回复


    ...不能上网、、、用  可牛弄好了
小淘气 发表于 2010.8.28 17:54


汗,刚发现貌似理解错了。你不会实机运行了吧?呵呵。
回复

举报

小淘气
头像被屏蔽
发表于 2010-8-28 18:20:01 | 显示全部楼层
回复 24楼 Lgwu  的帖子

我就把2个压缩包 解压成文件、、不知道为什么、、桌面就有了、我没点运行
   
回复

举报

hzz2009
发表于 2010-8-28 18:42:16 | 显示全部楼层
金山还真拽。
回复

举报

ablhr
发表于 2010-8-28 19:06:34 | 显示全部楼层
to mp
回复

举报

笑而不答
发表于 2010-8-28 19:08:15 | 显示全部楼层
回复

本来就云分析上传了
post8 发表于 2010.8.28 13:44


那你先下第1分卷看报不报?


回复

举报

lianyeguzhou
发表于 2010-8-29 16:45:23 | 显示全部楼层
过AVG
回复

举报

lianyeguzhou
发表于 2010-8-29 16:47:56 | 显示全部楼层
运行后,AVG拦截恶意软件,但很多快捷方式已经生成
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-10 02:02 , Processed in 0.097038 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表