鬼影病毒样本(解压密码:twoinfected)[MD5: A780B3]

显示全部楼层 · 发表于 2011-2-17 18:19:34

投降，躲避。

显示全部楼层 · 发表于 2011-2-17 18:41:58

回复 41楼 hddu 的帖子

2011-2-17 18:33:22 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\viurs test\vir2\1.exe
命令行: "d:\我的文档\viurs test\vir2\1.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-2-17 18:33:25 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:33:26 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\1.exe
规则: [应用程序]*

2011-2-17 18:33:27 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\1.exe
规则: [应用程序]*

2011-2-17 18:33:27 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\1.exe
规则: [应用程序]*

2011-2-17 18:33:28 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\1.exe
规则: [应用程序]*

2011-2-17 18:33:42 从其他进程复制句柄阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) f:\program files\mozilla firefox\plugin-container.exe
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2011-2-17 18:33:45 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:33:46 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:33:47 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:33:54 创建文件允许
进程: d:\我的文档\viurs test\vir2\1.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.bat

2011-2-17 18:33:54 修改文件阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:33:54 修改文件阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:33:54 修改文件阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:33:54 修改文件阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:33:56 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: d:\我的文档
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:33:57 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:33:57 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:33:58 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:33:59 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:34:00 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:34:00 创建新进程阻止
进程: d:\我的文档\viurs test\vir2\1.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

:try

del "d:\我的文档\viurs test\vir2\1.exe"

if exist "d:\我的文档\viurs test\vir2\1.exe" goto try

del %0

-----------------------------------------------------------------------------------------------------------------

2011-2-17 18:36:12 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\viurs test\vir2\a.exe
命令行: "d:\我的文档\viurs test\vir2\a.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-2-17 18:36:13 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:36:14 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\a.exe
规则: [应用程序]*

2011-2-17 18:36:15 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\a.exe
规则: [应用程序]*

2011-2-17 18:36:15 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\a.exe
规则: [应用程序]*

2011-2-17 18:36:16 修改内核内存及对象阻止
进程: d:\我的文档\viurs test\vir2\a.exe
规则: [应用程序]*

2011-2-17 18:36:24 从其他进程复制句柄阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) f:\program files\mozilla firefox\plugin-container.exe
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2011-2-17 18:36:25 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:36:26 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:36:27 创建文件夹阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: C:\Program files\MSDN
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-2-17 18:36:28 创建文件允许
进程: d:\我的文档\viurs test\vir2\a.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.bat

2011-2-17 18:36:28 创建文件阻止
进程: f:\program files\tencent\qq\bin\qq.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\Misc\com.tencent.advertisement28\fj140_40.gif
规则: [应用程序组]聊天程序 -> [应用程序]f:\program files\tencent\qq\bin\qq.exe -> [文件]c:\documents and settings\administrator\application data\tencent\qq\misc\*

2011-2-17 18:36:28 修改文件阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:36:28 修改文件阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:36:28 修改文件阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:36:28 修改文件阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-2-17 18:36:29 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: d:\我的文档
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:29 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:30 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:30 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:31 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:31 修改注册表值阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-2-17 18:36:32 创建新进程阻止
进程: d:\我的文档\viurs test\vir2\a.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

:try

del "d:\我的文档\viurs test\vir2\a.exe"

if exist "d:\我的文档\viurs test\vir2\a.exe" goto try

del %0

--------------------------------------------------------------------------------------------------------------

两个是一样的

显示全部楼层 · 发表于 2011-2-17 20:07:40

回复 32楼 maomao110 的帖子

我记得是基因

显示全部楼层 · 发表于 2011-2-17 21:32:57

本帖最后由 hddu 于 2011-2-17 21:53 编辑

2011-02-17 21:29:34 创建文件    操作:允许
进程路径:F:\virus\vir2\1.exe
文件路径:C:\Program files\MSDN
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-02-17 21:29:34 直接操作系统内核    操作:阻止
进程路径:F:\virus\vir2\1.exe
触发规则:所有程序规则->*

2011-02-17 21:29:34 直接操作系统内核    操作:阻止
进程路径:F:\virus\vir2\1.exe
触发规则:所有程序规则->*

2011-02-17 21:29:34 直接操作系统内核    操作:阻止
进程路径:F:\virus\vir2\1.exe
触发规则:所有程序规则->*

2011-02-17 21:29:34 直接操作系统内核    操作:阻止
进程路径:F:\virus\vir2\1.exe
触发规则:所有程序规则->*

2011-02-17 21:29:36 创建文件    操作:允许
进程路径:F:\virus\vir2\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.sys

2011-02-17 21:29:36 创建文件    操作:允许
进程路径:F:\virus\vir2\1.exe
文件路径:C:\Program files\MSDN\atixi.sys
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.sys

2011-02-17 21:29:36 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ATIXX
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum\Root*

2011-02-17 21:29:36 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ATIXX
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum\Root*

2011-02-17 21:29:36 运行应用程序    操作:允许
进程路径:F:\virus\vir2\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-02-17 21:29:39 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\vir2\1.exe
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->?:\*

显示全部楼层 · 发表于 2011-2-17 21:59:51

看日志疑是鬼影，退出EQ、杀软实机测试，重启系统顺利进入，没有鬼影一点影子。刚才没有经实机测试就乱叫，给大伙添麻烦了，见谅。

显示全部楼层 · 发表于 2011-2-18 01:32:23

本帖最后由 6900507 于 2011-2-18 01:35 编辑

√×√×√√× 发表于 2011-2-17 10:36
不说楼上你什么了，没看到样本有密码么？你下载的时候不给网盾密码，网盾哪什么检测？这样本又不新 ...

你当我小白呀~没输密码我敢这样说~有密码网盾也会有提示~我测试那时病毒还没入库呢~你当360是神呀~全部样本都过不了啊

显示全部楼层 · 发表于 2011-2-18 01:36:45

回复 1楼 phantomvir 的帖子

不建议lz加密码因为上报起来很麻烦

显示全部楼层 · 发表于 2011-2-18 09:37:26

本帖最后由 √×√×√√× 于 2011-2-18 09:40 编辑

6900507 发表于 2011-2-18 01:32
你当我小白呀~没输密码我敢这样说~有密码网盾也会有提示~我测试那时病毒还没入库呢~你当360是神呀~全部 ...

编瞎话也编的像一点好吗？

修改样本MD5后样本照样被360卫士主防秒杀。

主防自动阻止拦截：

然后我们再试第二个样本，其实这俩样本是一样的，看MD5就知道，即使修改过md5之后，网盾依旧能秒杀该样本：（你可别跟我说你连改MD5过云的方式都不懂）

新样本和旧样本的MD5值对比：

另外楼上你连张图和真相都没有，不说你什么了。

显示全部楼层 · 发表于 2011-2-18 10:22:31

晕倒啊。江民2011的监控无反应啊。一定要扫描才行动。郁闷中。

[病毒样本] 鬼影病毒样本(解压密码:twoinfected)[MD5: A780B3]

评分

本帖子中包含更多资源