收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 找到一个真正的熊猫烧香样本
返回列表 发新帖
查看: 45480|回复: 7
收起左侧

[病毒样本] 找到一个真正的熊猫烧香样本

 关闭 [复制链接]
zuo
发表于 2011-4-9 13:19:47 | 显示全部楼层 |阅读模式
本帖最后由 zuo 于 2011-4-9 13:20 编辑

RT,论坛上的都是伪熊猫,所以这里发个真的,PS:应该比较老了,所以大多数杀软应该都杀的出来。
警告:非常危险,严禁实机测试
附上MD的日志(病毒开始修改文件后我就把进程结束了,等他修改完,MD早就打不开了)
2011-4-9 13:08:50    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:51    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:51    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:52    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\wsock32.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:53    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\ws2_32.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:53    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\ws2help.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:54    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:54    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
目标: c:\windows\system32\drivers\spo0lsv.exe
命令行: C:\WINDOWS\system32\drivers\spo0lsv.exe
规则: [应用程序]c:\documents and settings\administrator\桌面\熊猫烧香病毒样本\gamesetup.exe
2011-4-9 13:08:55    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1232] ->  [10.0.2.1 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:55    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1233] ->  [10.0.2.57 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:56    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1234] ->  [10.0.2.47 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:56    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1235] ->  [10.0.2.166 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:56    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1236] ->  [10.0.2.60 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:56    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1237] ->  [10.0.2.33 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:57    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1238] ->  [10.0.2.159 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:57    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1239] ->  [10.0.2.19 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:57    访问网络    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: TCP [本机 : 1240] ->  [10.0.2.204 : 139 (netbios-ssn)]
规则: [应用程序组]4D应用程序规则-应用进程通用规则 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-9 13:08:57    创建文件    阻止
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Desktop_.ini
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\program files; *.*
2011-4-9 13:08:57    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\uninst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe
2011-4-9 13:08:58    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\uninst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe
2011-4-9 13:09:00    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\VBoxControl.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe
2011-4-9 13:09:01    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\VBoxControl.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe
2011-4-9 13:09:01    创建文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\setup.exe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]?:\; *.exe
2011-4-9 13:09:02    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\VBoxDrvInst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe
2011-4-9 13:09:02    创建文件    阻止
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\autorun.inf
规则: [文件组]文件安全读写规则(阻止创建、修改) -> [文件]?:\; autorun.inf
2011-4-9 13:09:04    修改文件    允许
进程: c:\windows\system32\drivers\spo0lsv.exe
目标: C:\Program Files\Oracle\VirtualBox Guest Additions\VBoxDrvInst.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe



回复

举报

XMonster
发表于 2011-4-9 13:23:54 | 显示全部楼层
2011/4/9 13:21:06    读文件夹    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: D:\下载\熊猫烧香病毒样本
规则: [文件组]【隐藏】本地磁盘 -> [文件]d:\*

2011/4/9 13:21:06    读文件夹    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: D:\下载\熊猫烧香病毒样本
规则: [文件组]【隐藏】本地磁盘 -> [文件]d:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*

2011/4/9 13:21:06    创建文件    阻止
进程: d:\下载\熊猫烧香病毒样本\gamesetup.exe
目标: C:\Windows\system32\drivers\spo0lsv.exe
规则: [文件组]【只读】系统磁盘 -> [文件]c:\*
回复

举报

zuo
 楼主| 发表于 2011-4-9 13:25:26 | 显示全部楼层
回复 2楼 dm34343667 的帖子

禁运党……直接全部阻止
回复

举报

sanhu35
发表于 2011-4-9 13:27:55 | 显示全部楼层
。。。此毒小菜

评分

参与人数 1人气 +1 收起 理由
XMonster + 1 乃的规则得嘛

查看全部评分

回复

举报

expensive6688
发表于 2011-4-9 13:27:57 | 显示全部楼层
虚拟机坏了,一会在折腾这个应该很宝贵把
回复

举报

瓜皮猫
发表于 2011-4-9 13:28:20 | 显示全部楼层
eset  kill
C:\Users\微亿毫\Desktop\熊猫烧香病毒样本.rar > RAR > GameSetup.exe - Win32/Fujacks.Y 病毒

评分

参与人数 1人气 +1 收起 理由
jayavira + 1 多谢测试

查看全部评分

回复

举报

想和你去吹吹风
发表于 2011-4-9 13:29:00 | 显示全部楼层
回复 1楼 zuo 的帖子





回复

举报

fatezero
发表于 2011-4-9 13:48:15 | 显示全部楼层


        36/39 (92.3%)

VT上星星竟然不报==
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-2 06:13 , Processed in 0.121041 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表