新型熊猫烧香变种【不运行没事情，一运行就悲剧！！非玩笑程序！！过所有主流免杀】

爱喀吧

360网钝 报风险

rossschuman

红伞有报

hddu

2010-10-06 21:05:13    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\windows\system32\bzdhz.ico
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（一）->%windir%\*.ico

2010-10-06 21:05:13    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file*

2010-10-06 21:05:20    创建注册表值      操作:阻止
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:熊猫烧香变种.exe
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-10-06 21:05:20    创建文件      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:F:\virus\熊猫烧香变种\del.bat
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2010-10-06 21:05:20    创建文件      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:F:\virus\熊猫烧香变种\ddel.bat
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2010-10-06 21:05:20    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\virus\熊猫烧香变种\ddel.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:05:20    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-10-06 21:05:21    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im Aver.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:05:21    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\virus\熊猫烧香变种\del.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:05:21    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-10-06 21:05:21    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\熊猫烧香变种\del.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-10-06 21:05:22    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-10-06 21:05:24    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im explorer.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2010-10-06 21:05:26    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im Aver.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2010-10-06 21:05:27    结束/挂起进程      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\taskkill.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2010-10-06 21:05:27    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\熊猫烧香变种\ddel.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

hddu

2010-10-06 21:13:26    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\windows\system32\bzdhz.ico
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（一）->%windir%\*.ico

2010-10-06 21:13:26    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file*

2010-10-06 21:13:28    创建注册表值      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:熊猫烧香变种.exe
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-10-06 21:13:28    创建文件      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:F:\virus\熊猫烧香变种\del.bat
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2010-10-06 21:13:28    创建文件      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:F:\virus\熊猫烧香变种\ddel.bat
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2010-10-06 21:13:28    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\virus\熊猫烧香变种\ddel.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:13:28    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->系统程序设置->*\conime.exe

2010-10-06 21:13:28    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im Aver.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:13:28    运行应用程序      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c F:\virus\熊猫烧香变种\del.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-10-06 21:13:29    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\熊猫烧香变种\del.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-10-06 21:13:29    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im explorer.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2010-10-06 21:13:30    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im Aver.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2010-10-06 21:13:32    结束/挂起进程      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\taskkill.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2010-10-06 21:13:32    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\熊猫烧香变种\ddel.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

sunyinjin

貌似就改一个注册表吧？

2010/10/6 21:12:04    创建文件夹    允许
进程: c:\users\syj2010\downloads\熊猫烧香变种.exe
目标: C:\Sandbox\SYJ2010\DefaultBox\drive\C\windows\system32
规则: [文件]*\windows

2010/10/6 21:12:05    修改注册表值    阻止并结束进程
进程: c:\users\syj2010\downloads\熊猫烧香变种.exe
目标: HKEY_USERS\SANDBOX_SYJ2010_DEFAULTBOX\machine\software\classes\exefile\DefaultIcon
值: C:\windows\system32\bzdhz.ico
规则: [注册表组]系统关键设置保护(结束进程) -> [注册表]*\SOFTWARE\Classes\exefile\DefaultIcon

hddu

2010-10-06 21:13:28    创建注册表值      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:熊猫烧香变种.exe
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

重启，看效果如何。

hx1997

貌似是恶作剧程序？修改exe文件的图标？
如果是这样，这个样本以前有人发过了

ws617659207

您好，

此邮件由邮件自动处理系统生成。其中的报告即为来信附件中文件的分析结果，并将反映在下一次的病毒库升级中。此邮件将被转交给病毒分析师。

╨▄├и╔╒╧уф╓╓.exe

以上文件正在处理中。

卡巴斯基中国病毒实验室

TO KL   

hddu

2010-10-06 21:13:28    创建注册表值      操作:允许
进程路径:F:\virus\熊猫烧香变种\熊猫烧香变种.exe
...
hddu 发表于 2010.10.6 21:14

成功拦截。

llylly

怎么才能过卡巴的应用程序控制啊