查看: 3343|回复: 11
收起左侧

[讨论] 这个样本是不是过了XueTr的关机拦截?

[复制链接]
wjcharles
发表于 2010-11-13 01:34:19 | 显示全部楼层 |阅读模式
本帖最后由 wjcharles 于 2010-11-15 15:21 编辑

http://bbs.kafan.cn/thread-839147-1-1.html

实机开着XueTr勾选“禁止待机、关机、注销和重启”和“禁止锁定计算机”,运行样本,过一会后系统图标变黑,鼠标左右键颠倒,然后就注销重启了,危害倒也不大,360重启后无法自启动(手动启动正常),NIS2011正常,系统时间被修改,文件关联被修改,host被修改,桌面上多了许多空文件夹
2010-11-12_011959(2).jpg



恢复文件关联后的日志

SREngLOG.rar (9.78 KB, 下载次数: 347)
kuaile
发表于 2010-11-13 05:20:43 | 显示全部楼层
路过,期待高人指点,学习一下
wjcharles
 楼主| 发表于 2010-11-13 19:51:01 | 显示全部楼层
顶一下
克劳德.斯特莱夫
发表于 2010-11-13 21:17:07 | 显示全部楼层
您就不能虚拟机运行下吗。。这样搞的看的都蛋疼
zuo
发表于 2010-11-13 21:32:35 | 显示全部楼层
本帖最后由 zuo 于 2010-11-13 21:35 编辑

2010-11-13 21:29:38 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建新进程 c:\windows\system32\conime.exe 阻止 [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe 命令行: C:\WINDOWS\system32\conime.exe

2010-11-13 21:29:39 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\FacebookPWCracker.bat 允许 [文件组]文件安全读写规则(询问创建) -> [文件]*temp\*; *.bat

2010-11-13 21:29:41 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建新进程 c:\windows\system32\cmd.exe 阻止 [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe 命令行: cmd /c ""C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\FacebookPWCracker.bat""

2010-11-13 21:29:50 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建新进程 c:\windows\system32\conime.exe 阻止 [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe 命令行: C:\WINDOWS\system32\conime.exe

2010-11-13 21:29:51 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建文件 C:\Documents and Settings\Administrator\Local Settings\Temp\5.tmp\FacebookPWCracker.bat 允许 [文件组]文件安全读写规则(询问创建) -> [文件]*temp\*; *.bat

2010-11-13 21:29:52 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe 命令行: cmd /c ""C:\Documents and Settings\Administrator\Local Settings\Temp\5.tmp\FacebookPWCracker.bat""

2010-11-13 21:29:55 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\reg.exe 允许 [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe 命令行: reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f

2010-11-13 21:29:55 c:\windows\system32\reg.exe 修改注册表值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr 阻止并结束进程 [注册表组]系统关键设置保护(结束进程) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SYSTEM; DisableTaskMgr 值: 1

2010-11-13 21:29:55 c:\windows\system32\cmd.exe 修改文件 C:\WINDOWS\win.ini 阻止 [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; win.ini

2010-11-13 21:29:55 c:\windows\system32\cmd.exe 修改文件 C:\WINDOWS\win.ini 阻止 [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; win.ini

2010-11-13 21:29:55 c:\windows\system32\cmd.exe 修改文件 C:\WINDOWS\win.ini 阻止 [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows; win.ini
这个病毒的动作不少,不过重启后貌似无大碍



wjcharles
 楼主| 发表于 2010-11-13 22:44:25 | 显示全部楼层
zuo 发表于 2010-11-13 21:32
2010-11-13 21:29:38 c:\documents and settings\administrator\桌面\facebookpwcracker\facebookpwcracker ...

问题原本开着xuetr拦截,觉得只要不被重启肯定没问题,结果突然出现正在注销。。。吓了我一跳,当时已经做好最坏打算了

不知道这是个例还是xuetr的缺陷
zuo
发表于 2010-11-13 22:45:25 | 显示全部楼层
回复 7楼 wjcharles 的帖子

我没碰到这种情况
jinzijie
发表于 2010-11-15 01:39:50 | 显示全部楼层
LZ,只是你的360没打开,我不是测试过了嘛
wjcharles
 楼主| 发表于 2010-11-15 03:01:11 | 显示全部楼层
jinzijie 发表于 2010-11-15 01:39
LZ,只是你的360没打开,我不是测试过了嘛

但我开着xt啊,勾选了“禁止待机、关机、注销和重启”和“禁止锁定计算机”,但还是重启了
jinzijie
发表于 2010-11-15 13:37:24 | 显示全部楼层
本帖最后由 jinzijie 于 2010-11-15 14:53 编辑

回复 10楼 wjcharles 的帖子

是会关机,调用了关机参数....所以你发在这询问XT没问题

但不要扯360被干掉,360拦截了一系列动作后,尽管关机了,手动重启,360好好的,系统也基本无大碍,具体在360区的那贴我有描述过。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 23:23 , Processed in 0.138726 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表