收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 http://bbs.kafan.cn/thread-947216-1-1.html此帖样本下 ...
12345下一页
返回列表 发新帖
楼主: byxxdrls
 收起左侧

[病毒样本] http://bbs.kafan.cn/thread-947216-1-1.html此帖样本下载的鬼影

  [复制链接]
byxxdrls
头像被屏蔽
 楼主| 发表于 2011-4-6 08:21:46 | 显示全部楼层
回复 21楼 liulangzhecgr 的帖子

两个样本是父子关系
回复

举报

hddu
发表于 2011-4-6 19:12:08 | 显示全部楼层
2011-04-06 18:58:53    运行应用程序      操作:允许
进程路径:F:\virus\鬼影\360safe3.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-06 18:58:57    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe.exe
文件路径:C:\Documents and Settings\All Users\Application Data\smsc.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*

2011-04-06 18:59:02    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:10    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:19    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:29    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:38    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:47    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 18:59:57    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:00:05    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:00:19    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:00:22    底层写磁盘操作      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe2.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-04-06 19:00:22    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe2.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\360safe2.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-06 19:01:49    创建文件      操作:允许
进程路径:F:\virus\鬼影\pack.exe
文件路径:C:\WINDOWS\system32\asdwrfa\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:01:49    创建文件      操作:允许
进程路径:F:\virus\鬼影\pack.exe
文件路径:C:\WINDOWS\system32\asdwrfa\360safe3.exe
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:01:49    创建文件      操作:允许
进程路径:F:\virus\鬼影\pack.exe
文件路径:C:\WINDOWS\system32\asdwrfa\tool.exe
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:01:49    创建文件      操作:允许
进程路径:F:\virus\鬼影\pack.exe
文件路径:C:\WINDOWS\system32\gewsfegtws.bat
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.bat

2011-04-06 19:01:50    运行应用程序      操作:允许
进程路径:F:\virus\鬼影\pack.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\gewsfegtws.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-06 19:01:50    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\360safe3.exe
文件路径:C:\Documents and Settings
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*.exe->?:\*

2011-04-06 19:01:50    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\ping.exe
命令行:127.1 /n 2
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\ping.exe

2011-04-06 19:01:51    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\360safe3.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe2.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-06 19:01:51    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\360safe3.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-06 19:01:54    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\鬼影\pack.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

2011-04-06 19:01:55    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\gewsfegtws.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat

2011-04-06 19:01:57    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe.exe
文件路径:C:\Documents and Settings\All Users\Application Data\smsc.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*

2011-04-06 19:01:57    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/u /s "C:\WINDOWS\system32/28l1.dll"
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2011-04-06 19:01:58    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/u /s "C:\WINDOWS\system32/90c7.dll"
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2011-04-06 19:01:58    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/u /s "C:\WINDOWS\system32/ce3r.dll"
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2011-04-06 19:01:58    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/u /s "C:\WINDOWS\system32/73co.dll"
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\308e.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\308e.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\Tasks\ms.job
触发规则:所有程序规则->WINDOWS允许设置->%windir%\Tasks\*.job

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1u.bmp
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1u.bmp
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\73co.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-04-06 19:01:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\73co.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-04-06 19:02:01    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:02:04    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/s "C:\WINDOWS\system32/73co.dll"
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2011-04-06 19:02:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1d.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-04-06 19:02:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1d.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-04-06 19:02:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\308d.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-04-06 19:02:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\308d.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-04-06 19:02:05    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1d.flv
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:02:05    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\9d1d.flv
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:02:05    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\308d.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2011-04-06 19:02:05    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\mtv.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-06 19:02:06    创建文件      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\h8nil4o8\mtv.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ktv.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\启动\*.lnk

2011-04-06 19:02:07    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32/308e.dll, Always
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-04-06 19:02:07    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\WINDOWS\system32\125-117-9299
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-04-06 19:02:18    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:03:11    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:03:13    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\asdwrfa\tool.exe
文件路径:C:\Documents and Settings\All Users\Application Data\d\
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*\

2011-04-06 19:03:17    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\iexplore.exe
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-06 19:03:25    底层写磁盘操作      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe2.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-04-06 19:03:25    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\360safe2.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\360safe2.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

回复

举报

nazisoft
发表于 2011-4-7 22:33:06 | 显示全部楼层
无驱动感染MBR,早就发过了
回复

举报

arsh
发表于 2011-4-7 22:38:42 | 显示全部楼层
小A ROOTKIT 被拦截
回复

举报

尤金卡巴斯基
发表于 2011-4-9 03:38:53 | 显示全部楼层
pack.exe_ - Trojan-Downloader.Win32.CodecPack.aooo
回复

举报

江3如此多娇
发表于 2011-4-10 14:01:17 | 显示全部楼层
火狐都报了  肯定有毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kfc1122
发表于 2011-4-10 14:06:18 | 显示全部楼层
MSE报:
Trojian:Win32/Ghodow.C
Trojian:Win32/Ghodow.D
TrojanDownLoader:Win32/Small.AHY
回复

举报

左手
发表于 2011-4-10 16:02:29 | 显示全部楼层
在文件“I:\virus\360safe3.exe”中检测到病毒或
恶意程序“TR/Meredrop.A.5725 [trojan]”。
执行的操作:拒绝访问
回复

举报

qqq123123
发表于 2011-4-11 12:37:00 | 显示全部楼层
回复 32楼 hddu 的帖子

很多都是允许,这样没问题么?
回复

举报

hddu
发表于 2011-4-11 13:35:28 | 显示全部楼层
qqq123123 发表于 2011-4-11 12:37
回复 32楼 hddu 的帖子

很多都是允许,这样没问题么?

没有问题,创建文件不可怕,可怕的是文件被修改、被删除,注册表被修改、被删除。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-14 14:53 , Processed in 0.096468 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表