呵呵，修改后缀名的程序来了

九尾野狐

这个程序

全靠FD就可以阻挡



首先会在TEMP下建立一个文件


2007-04-29 09:59:16   创建文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~DFF871.tmp
规则:所有程序规则->IE临时文件规则_病毒测试模式->?:\Documents and Settings\*\Local Settings\Temp\*



当允许建立该文件后


日志如下

可以看出


该程序会在同级目录下修改所有文件的后缀 为 .bmp

不过该程序对文件后缀的修改并未超出 f:\once 这个目录












2007-04-29 10:01:11   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\fengdou.wmv
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:16   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\Image00000.jpg
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.js
2007-04-29 10:01:18   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\你的眼神.mp3
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:18   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\新建 文本文档.txt
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:19   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\一江水.wma
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:20   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\在银色的月光下.mp3
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:21   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\EQ FD\EQ FD.xml
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:21   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][01].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:21   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][02].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:22   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][03].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:22   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][04].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:23   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][05].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:23   删除文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
规则:黑名单->In Side->C:\Program Files\Internet Explorer\IEXPLORE.EXE
2007-04-29 10:01:24   读取文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:C:\Program Files\Kaspersky\avp.com
规则:黑名单->In Side->*.com
2007-04-29 10:01:24   读取文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:C:\Program Files\Kaspersky\avp.com
规则:黑名单->In Side->*.com
2007-04-29 10:01:25   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][06].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:26   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][07].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:27   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][08].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:27   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][09].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:27   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][10].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:28   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][11].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:28   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][12].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:29   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][13].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:30   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][14].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:30   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][15].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:31   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][16].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:32   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][17].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:32   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][18].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:32   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][19].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:33   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][20].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:33   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][21].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:33   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][22].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:34   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][23].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:34   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][24].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:34   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][25].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:35   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\fengdou.wmv
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:35   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\Image00000.jpg
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.js
2007-04-29 10:01:35   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\Image00001.jpg
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.js
2007-04-29 10:01:36   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\Image00002.jpg
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.js
2007-04-29 10:01:36   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\你的眼神.mp3
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:36   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\新建 文本文档.txt
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:36   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\一江水.wma
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:37   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\在银色的月光下.mp3
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:37   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\EQ FD\EQ FD.xml
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:38   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][01].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:38   修改文件
操作:阻止
进程路径:F:\Once\org4482\zip_v-3\test.exe
文件路径:F:\Once\死亡笔记_Death Note\[DmxF][动漫先锋字幕组][死亡笔记_Death Note][02].rmvb
规则:所有程序规则->全局文件夹规则_病毒测试模式->F:\Once*
2007-04-29 10:01:39   修改文件

九尾野狐

忘了说了


会把原后缀名改为  .bmp

solcroft

连wmv，jpg，rmvb它也要修改 怪病毒

九尾野狐

呵呵

感觉挺有意思的

对于这种程序

HIPS

可以说是

小菜一碟

wangjay1980

卡巴杀了

solcroft

反正我的FD规则忽疏得紧，只是防止几个重要系统文件被修改+删除
遇到这种连wmv都要感染的变态病毒，还是趁着它在修改注册表时先马上把它干掉

九尾野狐

o

这个东西不动注册表的

运行后就直接干活了

solcroft

原帖由 没注册 于 2007-4-29 12:13 发表
o

这个东西不动注册表的

运行后就直接干活了

还有几张，懒得贴出来了

九尾野狐

好像这个键

我的规则里没有……

The EQs

昨天刚刚上报。。。。还以为穿过了影子。。。