修改rundll32.exe和ctfmon.exe的?!

显示全部楼层 · 发表于 2010-12-9 15:45:31

本帖最后由 liulangzhecgr 于 2010-12-13 09:26 编辑

样本:

-------------------------------------------------

难道此样本过eq的任何规则?!

注明:
已经过两个人的规则

补上几个资料:
[XueTr][文件关联]: 31
名称路径注册表路径
.exe "c:\windows\rundll.zeif" "%1" %* HKEY_CLASSES_ROOT\.exe

exefile "c:\windows\rundll.zeif" "%1" %* HKEY_CLASSES_ROOT\exefile\Shell\Open\Command

文件: C:\WINDOWS\system32\rundll32.exe
大小: 13312 字节
修改时间: 2010年12月8日, 15:12:24
MD5: 97F78690C01140B575C03B124E8BEE7D
SHA1: D6110DEB1BC9927A6C8060354D57679A65DC4C39
CRC32: 7B383669
文件: C:\WINDOWS\system32\dllcache\rundll32.exe
大小: 13312 字节
修改时间: 2010年12月8日, 15:12:24
MD5: 97F78690C01140B575C03B124E8BEE7D
SHA1: D6110DEB1BC9927A6C8060354D57679A65DC4C39
CRC32: 7B383669
-------------------------------------------------
文件: C:\WINDOWS\system32\rundll32.exe
大小: 32768 字节
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2005年12月15日, 8:00:00
MD5: 65A70EC4649499399B50AC75D911A501
SHA1: 50B6883D97A1FF6EDFDE788FC8E9F0ABE8DE242A
CRC32: 167F31EE

显示全部楼层 · 发表于 2010-12-9 16:09:12

本帖最后由三生缘石于 2010-12-9 16:37 编辑

卡巴报了
http://www.virustotal.com/file-s ... a3f1ee78-1291881996
to eset

显示全部楼层 · 发表于 2010-12-9 16:24:26

本帖最后由 liulangzhecgr 于 2010-12-9 17:09 编辑

2010-12-09 12:47:42 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\virus test\ww\融合.exe
触发规则:应用程序规则->父进程威胁提示Ⅰ->%systemroot%\*

2010-12-09 12:47:58 系统设备控制    操作:阻止
进程路径:F:\virus test\ww\融合.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:所有程序规则->*

2010-12-09 12:48:06 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:06 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:06 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:24 运行应用程序    操作:允许
进程路径:F:\virus test\ww\融合.exe
文件路径:F:\virus test\ww\融合.exe
触发规则:所有程序规则->*

2010-12-09 12:48:32 系统设备控制    操作:阻止
进程路径:F:\virus test\ww\融合.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:所有程序规则->*

2010-12-09 12:48:37 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:37 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:37 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:48 运行应用程序    操作:允许
进程路径:F:\virus test\ww\融合.exe
文件路径:F:\virus test\ww\融合.exe
触发规则:所有程序规则->*

2010-12-09 12:48:55 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:55 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:48:55 创建文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 12:49:06 运行应用程序    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:F:\virus test\ww\融合.exe
触发规则:所有程序规则->*

2010-12-09 12:49:18 系统设备控制    操作:阻止
进程路径:F:\virus test\ww\融合.exe
系统设备名称:\Device\NamedPipe\SfcApi
触发规则:所有程序规则->*

2010-12-09 12:49:28 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\dllcache\rundll32.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:49:44 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\dllcache\rundll32.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:50:03 系统设备控制    操作:阻止
进程路径:F:\virus test\ww\融合.exe
系统设备名称:\Device\NamedPipe\SfcApi
触发规则:所有程序规则->*

2010-12-09 12:50:10 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\rundll32.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:50:40 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\rundll32.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:51:46 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\dllcache\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:52:26 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\rundll32.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:52:33 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:52:49 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\dllcache\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:53:45 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:53:45 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:53:47 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\dllcache\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:53:55 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:53:55 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:53:57 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:54:03 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:54:07 修改文件    操作:阻止
进程路径:F:\virus test\ww\融合.exe
文件路径:C:\windows\system32\ctfmon.exe
触发规则:所有程序规则->系统核心目录Ⅱ->%systemroot%\*.exe

2010-12-09 12:54:10 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:10 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:15 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:15 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:21 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:21 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:25 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:25 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:54:46 进程间消息操作    操作:允许
进程路径:F:\virus test\ww\融合.exe

消息类型:WM_CLOSE
触发规则:所有程序规则->*

2010-12-09 12:55:16 关闭/重启系统    操作:阻止
进程路径:F:\virus test\ww\融合.exe

触发规则:所有程序规则->*

2010-12-09 12:55:45 关闭/重启系统    操作:阻止
进程路径:F:\virus test\ww\融合.exe

触发规则:所有程序规则->*

2010-12-09 12:55:48 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:55:48 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:55:59 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:55:59 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:56:10 关闭/重启系统    操作:允许
进程路径:F:\virus test\ww\融合.exe

触发规则:所有程序规则->*

2010-12-09 12:56:24 结束/挂起进程    操作:阻止
进程路径:C:\WINDOWS\system32\csrss.exe
目标进程:D:\program files\Funshion Online\Funshion\Funshion.exe
触发规则:所有程序规则->威胁提示Ⅰ->?:\Program Files\*

2010-12-09 12:56:25 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:56:25 创建注册表值    操作:阻止
进程路径:F:\virus test\ww\融合.exe
注册表路径:HKEY_CLASSES_ROOT\.zeif
注册表名称:[Key]
触发规则:所有程序规则->文件关联项->HKEY_CLASSES_ROOT\.*

2010-12-09 12:56:30 结束/挂起进程    操作:阻止
进程路径:C:\WINDOWS\system32\csrss.exe
目标进程:D:\program files\Funshion Online\Funshion\FunshionService.exe
触发规则:所有程序规则->威胁提示Ⅰ->?:\Program Files\*

漏掉...自动注销!

eq帮倒忙...

我以为eq被杀掉呢?!

还起副作用...

2010-12-09 15:23:02 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\wdfmgr.exe
触发规则:所有程序规则->威胁提示Ⅰ->%systemroot%\*

2010-12-09 15:23:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 15:23:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\SoftwareDistribution\EventCache\{DB531CDD-0C1C-4CD4-A766-C29D444187EC}.bin
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 15:23:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\SoftwareDistribution\EventCache\{DB531CDD-0C1C-4CD4-A766-C29D444187EC}.bin
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 15:23:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\SoftwareDistribution\EventCache\{14ECE03B-B323-4920-B51A-A6BFB70786B9}.bin
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 15:23:50 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

2010-12-09 15:23:55 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\SoftwareDistribution\EventCache\{DB531CDD-0C1C-4CD4-A766-C29D444187EC}.bin
触发规则:所有程序规则->保护目录->%systemroot%*

2010-12-09 15:23:57 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->进程保护->C:\Program Files\Internet Explorer\IEXPLORE.exe

2010-12-09 15:24:19 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\tools\tools\XueTr吾爱破解论坛专版\XueTr.bat.pif
触发规则:应用程序规则->父进程威胁提示Ⅰ->%systemroot%\*

2010-12-09 15:24:34 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\tools\tools\XueTr吾爱破解论坛专版\XueTr.pif.pif
触发规则:应用程序规则->父进程威胁提示Ⅰ->%systemroot%\*

2010-12-09 15:24:55 创建文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\tools\tools\XueTr吾爱破解论坛专版\XueTr.pif
触发规则:所有程序规则->文件阻止及保护->?:\*.pif

2010-12-09 15:25:01 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\tools\tools\XueTr吾爱破解论坛专版\XueTr.pif.pif
触发规则:应用程序规则->父进程威胁提示Ⅰ->%systemroot%\*

2010-12-09 14:53:59 注册表保护已经开启.

2010-12-09 14:53:59 文件保护已经开启.

原来是文件关联病毒!因为eq...

显示全部楼层 · 发表于 2010-12-9 16:26:49

本帖最后由猪头大队于 2010-12-9 16:31 编辑

360网盾报了，红伞无视，上报
红伞回复.exe程序确认恶意软件，下次更新即入库。.dll文件安全

显示全部楼层 · 发表于 2010-12-9 16:28:59

下载文件：ww.rar
木马名称：Win32.Troj.Killav.aj.(kclou...
这个木马可能破坏您的电脑系统，窃取账号密码

保存路径：C:\Documents and Settings\DSB\桌面
下载工具：谷歌浏览器

显示全部楼层 · 发表于 2010-12-9 17:10:01

本帖最后由 fatezero 于 2010-12-9 17:11 编辑

http://bbs.kafan.cn/thread-861781-1-1.html
又出口转内销了么

昨天上报的

##.exe_ - Trojan.Win32.KillAV.hbk,
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

显示全部楼层 · 发表于 2010-12-9 17:18:43

回复 6楼 fatezero 的帖子

我以为什么高级病毒呢?! 在辅助区求救...刚进去辅助区把求救贴改成已解决!
这个eq很让我失望...

显示全部楼层 · 发表于 2010-12-9 17:26:53

大蜘蛛clean，已上报

显示全部楼层 · 发表于 2010-12-9 18:02:27

呵呵，
毒笼，，
来了Virus，丢进去，咔嚓咔嚓

显示全部楼层 · 发表于 2010-12-9 18:09:15

回复 2楼三生缘石的帖子

这个样本我已经上报给ESET了，回复正在处理

[病毒样本] 修改rundll32.exe和ctfmon.exe的?!

本帖子中包含更多资源

评分

浏览过的版块