高质量，Ring3下感染MBR

显示全部楼层 · 发表于 2011-4-1 21:15:45

2011-04-01 21:10:04 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm?id=4"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:10:08 运行应用程序    操作:允许
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 21:10:16 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:10:29 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:10:40 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:10:51 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:11:01 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:11:12 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:11:22 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:11:33 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 21:11:43 底层写磁盘操作    操作:阻止
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-04-01 21:11:43 运行应用程序    操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del F:\virus\鬼影2\鬼影2\鬼影2.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-01 21:11:48 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

显示全部楼层 · 发表于 2011-4-1 21:28:10

微点秒杀之

显示全部楼层 · 发表于 2011-4-1 21:52:39

这种东西SBIE都穿不了的吧

显示全部楼层 · 发表于 2011-4-1 23:14:17

liulangzhecgr 发表于 2011-4-1 15:10
是不是对ie下毒手...

运行样本后ie图表变啦!

但我桌面IE图标正常，主页也正常，windows清理助手只有你的第一项

显示全部楼层 · 发表于 2011-4-2 01:23:07

呵呵，咖啡表示木有任何压力。

显示全部楼层 · 发表于 2011-4-2 04:00:00

测试了高危！

显示全部楼层 · 发表于 2011-4-2 05:39:47

本帖最后由 liulangzhecgr 于 2011-4-2 05:40 编辑

wjcharles 发表于 2011-4-1 23:14
但我桌面IE图标正常，主页也正常，windows清理助手只有你的第一项

不同的机子可能表现不同,是我糊涂...

显示全部楼层 · 发表于 2011-4-2 07:33:13

本帖最后由小飞侠.net 于 2011-4-2 07:33 编辑

liulangzhecgr 发表于 2011-4-1 15:23
工具反映情况:

替换成IE6图标---流氓桌面图标病毒，至少需要二个强力修复解决。。。但这样可能还有一些问题没解决。

显示全部楼层 · 发表于 2011-4-2 07:41:20

显示全部楼层 · 发表于 2011-4-2 07:43:18

可疑文件扫描报告
----------------------
文件名: 鬼影2.rar
文件大小: 37910 字节 (37.02 KB)
修改日期: 2011-04-02 07:36
MD5: 910878d89d834ae15272399c48559c34
SHA1: 509f4fdd95e878ec709cc2e748b848f53363b2f4
SHA256: 59566fb854427c2e888f472f99c51da1860b4275a5c65c291d95ad39be5d033e
CRC32: 01acf1e2

----------------------
360杀毒2（QVM+Rootkit+云）：鬼影2.rar=>鬼影2\鬼影2.exe 可疑木马(Trojan.Generic.KDV.174302)

安天防线7（启发式+云）：安全
----------------------
本地病毒库最后更新时间：7:38 2011-4-2

[病毒样本] 高质量，Ring3下感染MBR

本帖子中包含更多资源