楼主: htm123
收起左侧

[病毒样本] 在某网站抓的,尚未分析

[复制链接]
hzk456
发表于 2011-4-8 16:05:54 | 显示全部楼层
2011-04-08 16:19:01        文件保护(创建文件)     操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\TEMP\scs36.tmp
2011-04-08 16:19:01        文件保护(创建文件)     操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\TEMP\scs35.tmp
2011-04-08 16:19:01        应用程序保护(运行应用程序)     操作:阻止
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\system32\conime.exe
zhanyuchenbobo
发表于 2011-4-8 16:14:37 | 显示全部楼层
mcafee kill
12.exe   kp.exe
liulangzhecgr
发表于 2011-4-8 16:54:37 | 显示全部楼层
12.exe


aa.exe


kp.exe


m12.exe


smartTool

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qianyuqx
头像被屏蔽
发表于 2011-4-8 17:08:21 | 显示全部楼层
2x to kis
594157544
发表于 2011-4-8 17:28:29 | 显示全部楼层
avast! Kill 1个

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hddu
发表于 2011-4-8 20:08:07 | 显示全部楼层
2011-04-08 20:03:32    创建文件      操作:允许
进程路径:F:\virus\新建文件夹\12.exe
文件路径:C:\WINDOWS\system32\ComResA.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-04-08 20:03:32    删除文件      操作:阻止
进程路径:F:\virus\新建文件夹\12.exe
文件路径:C:\WINDOWS\system32\comres.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\comres.dll


2011-04-08 20:03:32    创建文件      操作:允许
进程路径:F:\virus\新建文件夹\12.exe
文件路径:C:\WINDOWS\system32\ComRes.dllieisrNpx.tmp
触发规则:所有程序规则->WINDOWS临时文件设置->%windir%\*.tmp


2011-04-08 20:03:32    删除文件      操作:阻止
进程路径:F:\virus\新建文件夹\12.exe
文件路径:C:\WINDOWS\system32\comres.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\comres.dll


2011-04-08 20:03:32    修改文件      操作:阻止并结束进程
进程路径:F:\virus\新建文件夹\12.exe
文件路径:C:\WINDOWS\system32\ComRes.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\comres.dll


2011-04-08 20:04:25    创建文件      操作:允许
进程路径:F:\virus\新建文件夹\aa.exe
文件路径:C:\WINDOWS\system32\imm32A.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-04-08 20:04:25    创建文件      操作:允许
进程路径:F:\virus\新建文件夹\aa.exe
文件路径:C:\WINDOWS\system32\.qcx.tmp
触发规则:所有程序规则->WINDOWS临时文件设置->%windir%\*.tmp


2011-04-08 20:04:25    删除文件      操作:阻止
进程路径:F:\virus\新建文件夹\aa.exe
文件路径:C:\WINDOWS\system32\imm32.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\imm32.dll


2011-04-08 20:04:25    修改文件      操作:阻止
进程路径:F:\virus\新建文件夹\aa.exe
文件路径:C:\WINDOWS\system32\imm32.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\imm32.dll


2011-04-08 20:04:25    运行应用程序      操作:允许
进程路径:F:\virus\新建文件夹\aa.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del "F:\virus\新建文件夹\aa.exe"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-04-08 20:04:27    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\新建文件夹\aa.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

hddu
发表于 2011-4-8 20:09:51 | 显示全部楼层
2011-04-08 20:04:50    运行应用程序      操作:阻止
进程路径:F:\virus\新建文件夹\kp.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:04:51    运行应用程序      操作:阻止
进程路径:F:\virus\新建文件夹\kp.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:04:51    创建注册表值      操作:阻止
进程路径:F:\virus\新建文件夹\kp.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*


2011-04-08 20:04:51    创建注册表值      操作:阻止
进程路径:F:\virus\新建文件夹\kp.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*


2011-04-08 20:04:51    运行应用程序      操作:允许
进程路径:F:\virus\新建文件夹\kp.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-04-08 20:04:52    运行应用程序      操作:阻止
进程路径:F:\virus\新建文件夹\kp.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:setupapi,InstallHinfSection DefaultInstall 128 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mdinstall.inf
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2011-04-08 20:04:54    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:04:54    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:04:59    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
命令行:-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
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-04-08 20:05:02    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:05:02    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:05:06    修改文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\drivers\etc\*


2011-04-08 20:05:06    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\vnnl3.log
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*


2011-04-08 20:06:08    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
命令行:-dBBA85AB0B97E18C7F9080A2DADE9788A6BB2452C8EDB59846F0E7CF45B81D78A89C5B8514E3D527D620C89E6004E09E011173F87D3BDEBBE9AFC5D2B913EA9C1B4C94BF9515D10B8D0E44BCB9B69969F56A3AEDCCC0A331B324F4876BB4D720F8FF4213F9CA4C76AE2006D1D25F323822B91BFF1F0A7C683774C792A21AA549EAAFB872348112CF77B2B4D2E8859F562C03DDD91F9027911EC476EFA4C5BB7A2D6A90973AE21337FBC2986CCEE719133871BB769E1EC628B5011E352
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-04-08 20:06:11    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:06:11    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:06:49    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-04-08 20:06:52    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:06:52    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
触发规则:所有程序规则->系统程序设置->%windir%\system32\net*.exe


2011-04-08 20:07:02    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
命令行:-d4B5810FA64A3B26D55A47B5CD296A15724F17747DABCCC03187F7A0C719F680364E17E63F78061030F3CF66A6028F1D23EF106BB93FD726CB6D1F3410F7A71D09D1ED970D478038080909CCF81665CBA9A8C2070BA199D8D54E1BD0FCC28EE710868EDF394A2CD7E0AD148249C93A5F1E90CB38D88EDA3E7F2DDD482B121C53AF6F2C8070F5E34C04D2319895CB0D3111B0AEAEB76461859D25D75D506E41A16F9A8B8155FF9ECA1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-04-08 20:07:05    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\zly0i.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


留侯
发表于 2011-4-8 21:02:45 | 显示全部楼层
大蜘蛛发现3个:
新建文件夹\12.exe 已打包,方式: UPX
新建文件夹\12.exe 已打包,方式: BINARYRES
新建文件夹\12.exe 已感染:  Trojan.PWS.Gamania.29799
\新建文件夹\aa.exe 已感染:  Trojan.PWS.Gamania.29842
新建文件夹\kp.exe 已感染:  Trojan.DownLoader2.29172
余下已上报
s8706042
发表于 2011-4-8 23:54:52 | 显示全部楼层
本帖最后由 s8706042 于 2011-4-8 23:57 编辑

趋势kill 1 virus (TROJ)~



已上报趋势~


yj97595077
发表于 2011-4-9 00:17:26 | 显示全部楼层
怎么没有人测试卡巴啊?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 07:24 , Processed in 0.103504 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表