收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 load_css
123下一页
返回列表 发新帖
楼主: xuan21
 收起左侧

[病毒样本] load_css

  [复制链接]
chinawallace
发表于 2010-11-14 11:13:51 | 显示全部楼层
一下载金山网盾就杀了。
回复

举报

425162926
发表于 2010-11-14 11:16:26 | 显示全部楼层
本帖最后由 425162926 于 2010-11-14 11:17 编辑

回复 10楼 wdolo 的帖子

这个貌似就是最近比较流行 的情色电影.exe 里面 分别用Nullsoft PiMP Stub 这个工具捆绑了两次。其中有个还命名为360.exe 有时间你可以看下,我没打包联网下载的一群东东。
回复

举报

hansyu
发表于 2010-11-14 11:29:13 | 显示全部楼层
panda启发,打包文件
回复

举报

JusticeH
发表于 2010-11-14 11:29:14 | 显示全部楼层
BDAV2011
Found Nothing
已上报
回复

举报

wdolo
头像被屏蔽
发表于 2010-11-14 11:45:09 | 显示全部楼层
回复 12楼 425162926 的帖子

3x,上班看看
回复

举报

恋亿晓
发表于 2010-11-14 12:07:34 | 显示全部楼层
to avira
回复

举报

留侯
发表于 2010-11-14 16:48:05 | 显示全部楼层
大蜘蛛MISS,已上报。
回复

举报

s8706042
发表于 2010-11-14 23:04:17 | 显示全部楼层
已上報趨勢~
回复

举报

猪头大队
头像被屏蔽
发表于 2010-11-15 09:28:39 | 显示全部楼层
Artemis!F752D4D0B6B1

360网盾未知
回复

举报

hddu
发表于 2010-11-16 00:07:34 | 显示全部楼层
2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\淘宝热卖.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\淘宝皇冠.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\综合频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\台湾频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\商城频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\女人频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:03:59    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\电器频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\居家玩具.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\数码频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\男人频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\美容频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\食品频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\饰品鞋包.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:00    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Favorites\家装频道.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Favorites\*

2010-11-16 00:04:04    创建文件      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OTUZW5AJ\ie[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe

2010-11-16 00:04:18    运行应用程序      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-16 00:04:19    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\system32\kswbc.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2010-11-16 00:04:20    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\system32\kwsui.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2010-11-16 00:04:21    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\system32\kwssp.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2010-11-16 00:04:21    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\system32\kswebshield.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2010-11-16 00:04:22    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\resources\ks360.exe
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\Resources\*

2010-11-16 00:04:22    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsg6.tmp\ns7.tmp
命令行:cmd.exe /c Ks360 -install
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-16 00:04:23    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsg6.tmp\ns7.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c Ks360 -install
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-11-16 00:04:23    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsg6.tmp\ns8.tmp
命令行:cmd.exe /c Ks360 -start
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-16 00:04:23    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsg6.tmp\ns8.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c Ks360 -start
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-11-16 00:04:28    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\All Users\Application Data\kingsoft
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*

2010-11-16 00:04:31    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-11-16 00:04:32    运行应用程序      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-16 00:04:34    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360.exe
文件路径:C:\Program Files\Internet Explorer\ie.amico
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Internet Explorer\*

2010-11-16 00:04:36    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe
命令行: _?=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-11-16 00:05:00    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\main.vbs
触发规则:所有程序规则->系统程序设置->%windir%\system32\*script.exe

2010-11-16 00:05:04    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoInternetIcon
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

2010-11-16 00:05:04    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2010-11-16 00:05:04    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2010-11-16 00:05:04    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
注册表名称:NoInternetIcon
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

2010-11-16 00:05:04    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2010-11-16 00:05:04    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2010-11-16 00:05:04    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-16 00:05:04    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2010-11-16 00:05:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\AmMain.sql
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2010-11-16 00:05:04    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Main.mdb
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*

2010-11-16 00:05:04    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\setup.inf
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*

2010-11-16 00:05:05    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\setup.inf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2010-11-16 00:05:05    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:setupapi,InstallHinfSection DefaultInstall 128 C:\Documents and Settings\Administrator\Application Data\setup.inf
触发规则:所有程序规则->系统程序设置->%windir%\system32\rundll32.exe

2010-11-16 00:05:05    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:%69%65%2E%7A%68%2D%63%6E%2E%63%63
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

2010-11-16 00:05:08    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:08    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:08    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:08    模拟键盘鼠标      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

2010-11-16 00:05:08    模拟键盘鼠标      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

2010-11-16 00:05:33    创建文件      操作:阻止
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\桌面\情色电影.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\桌面\*.exe

2010-11-16 00:05:33    修改注册表内容      操作:阻止
进程路径:F:\virus\load_css[1]\load_css[1].exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:33    修改注册表内容      操作:阻止
进程路径:F:\virus\load_css[1]\load_css[1].exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:33    修改注册表内容      操作:阻止
进程路径:F:\virus\load_css[1]\load_css[1].exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-16 00:05:37    运行应用程序      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://adsgo.zh-cn.cc/?am_sp&setup_users
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2010-11-16 00:05:41    运行应用程序      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://cpa.load-code.meibu.com/down.asp?users=ok&安装统计
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2010-11-16 00:05:42    运行应用程序      操作:允许
进程路径:F:\virus\load_css[1]\load_css[1].exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-16 00:05:46    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe
命令行: _?=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-11-16 00:06:19    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-11-16 00:06:22    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\uninst.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe
命令行: _?=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-10 02:33 , Processed in 0.096947 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表