NSIS:KillAV [MD5: BEFF52] (7/43)

显示全部楼层 · 发表于 2010-9-21 21:48:44

http://www.virustotal.com/file-scan/report.html?id=105afee8fa96911dcd0db1bc05f71ce42cb866dee43f15601e96672bdeb95b97-1285076440

显示全部楼层 · 发表于 2010-9-21 21:51:19

看VT报告小a杀了那就不测了看病毒名是干掉杀软的程序

显示全部楼层 · 发表于 2010-9-21 21:52:00

mcafee
Artemis!76D1736F2BD7

显示全部楼层 · 发表于 2010-9-21 22:00:15

2010-09-21 21:59:52 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft\temp_8344
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:52 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft\temp_8344
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:55 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:55 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\KSWebShield.exe
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*.exe

2010-09-21 21:59:55 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\kswbc.dll
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:55 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\kswebshield.dll
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:55 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\kwssp.dll
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\kwsui.dll
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\s.bat
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft\kws
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft\kws\kws.ini
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft\kws\spitesp.dat
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:56 运行应用程序    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\All Users\Application Data\wd\s.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-09-21 21:59:57 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-09-21 21:59:57 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\KSWebShield.exe
命令行:-install
触发规则:应用程序规则->自动创建规则->?:\*

2010-09-21 21:59:57 创建文件    操作:允许
进程路径:C:\Documents and Settings\All Users\Application Data\WD\KSWebShield.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\KWSSVC.log
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Application Data\*

2010-09-21 21:59:59 运行应用程序    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://www.4950.com.cn/s.html
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2010-09-21 22:00:00 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internat Explorer
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*

2010-09-21 22:00:00 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internat Explorer\Desktop.ini
触发规则:所有程序规则->白名单与黑名单->*\desktop.ini

2010-09-21 22:00:03 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2010-09-21 22:00:15 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internat Explorer\target.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2010-09-21 22:00:16 运行应用程序    操作:阻止
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internat Explorer" +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2010-09-21 22:00:16 修改注册表内容    操作:阻止
进程路径:F:\virus\3gh[1]\3gh.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder
注册表名称:Attributes
触发规则:所有程序规则->CLSID项设置->*\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}*

2010-09-21 22:00:16 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\WINDOWS\taobao.ico
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（一）->%windir%\*.ico

2010-09-21 22:00:18 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service
注册表名称:Start
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services*

2010-09-21 22:00:20 创建文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\淘宝购物.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2010-09-21 22:00:23 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service
注册表名称:ImagePath
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-09-21 22:00:24 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\KSWebShield.exe
命令行:-start
触发规则:应用程序规则->自动创建规则->?:\*

2010-09-21 22:00:25 修改文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\淘宝购物.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2010-09-21 22:00:27 修改文件    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\All Users\桌面\淘宝购物.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2010-09-21 22:00:27 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\Documents and Settings\Administrator\Favorites\淘宝购物.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置（二）->?:\Documents and Settings\*\Favorites\*

2010-09-21 22:00:28 运行应用程序    操作:允许
进程路径:F:\virus\3gh[1]\3gh.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp_tmp.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-09-21 22:00:29 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\3gh[1]\3gh.exe
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->?:\*

2010-09-21 22:00:55 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\All Users\Application Data\WD\s.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

显示全部楼层 · 发表于 2010-9-21 22:00:39

样本名称：3gh.exe

文件MD5：beff5240a0655db5ef9c0cbcb64349ad

鉴定结果：危险

显示全部楼层 · 发表于 2010-9-21 22:06:47

fs启发.

显示全部楼层 · 发表于 2010-9-21 22:08:43

流氓不过不是很顽固

显示全部楼层 · 发表于 2010-9-21 22:34:18

to eset
http://samples.nod32.com.hk/inde ... db5ef9c0cbcb64349ad

显示全部楼层 · 发表于 2010-9-21 22:40:11

TO KL

显示全部楼层 · 发表于 2010-9-21 22:47:53

红伞扫描不报，不敢运行测试。

[病毒样本] NSIS:KillAV [MD5: BEFF52] (7/43)