收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 一只鬼影及其下载的东西
1234下一页
返回列表 发新帖
楼主: zhuyifan2007
 收起左侧

[病毒样本] 一只鬼影及其下载的东西

  [复制链接]
ppy0606
发表于 2011-4-10 19:23:06 | 显示全部楼层
2011-4-10 19:17:16    创建文件    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: C:\Program Files\Common Files\SafeDrvsss.exe
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [文件组]文件保护 -> [文件]?:\program files\*

2011-4-10 19:17:16    创建文件    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: C:\Program Files\Common Files\SafeDrvsss.exe
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [文件组]文件保护 -> [文件]?:\program files\*

2011-4-10 19:17:17    修改文件    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: \Device\NamedPipe\SfcApi
规则: [文件]*

2011-4-10 19:17:17    修改文件    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: \Device\NamedPipe\SfcApi
规则: [文件]*

2011-4-10 19:17:17    安装驱动程序或服务    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: efbrwa
文件路径: C:\DOCUME~1\9eyes.PPY\LOCALS~1\Temp\~efbrwa.txt
规则: [应用程序]*

2011-4-10 19:17:17    启动驱动程序或服务    阻止
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
规则: [应用程序]*

2011-4-10 19:17:17    创建新进程    阻止并结束进程
进程: d:\我的文档\virus test\safedrvsss\safedrvsss.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c erase /F "D:\我的文档\virus test\SafeDrvsss\SafeDrvsss.exe" > nul
规则: [应用程序]* -> [子应用程序]c:\windows\*
------------------------------------------------------------------------

2011-4-10 19:18:15    修改注册表值    阻止
进程: d:\我的文档\virus test\autoqiji\autoqiji.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\autoqiji.exe
值: "D:\我的文档\virus test\autoqiji\autoqiji.exe"
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*
----------------------------------------------------------------------


其他的都一样...
回复

举报

hddu
发表于 2011-4-10 21:32:27 | 显示全部楼层
2011-04-10 21:06:16    创建文件      操作:允许
进程路径:F:\virus\SafeDrvsss\SafeDrvsss.exe
文件路径:C:\Documents and Settings\Administrator\SafeDrvsss.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*

2011-04-10 21:06:16    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\~fkghk.txt
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*

2011-04-10 21:06:16    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Application Data\~fkghk.txt
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*

2011-04-10 21:06:17    创建文件      操作:允许
进程路径:F:\virus\SafeDrvsss\SafeDrvsss.exe
文件路径:C:\Program Files\Common Files\SafeDrvsss.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\*

2011-04-10 21:06:19    创建文件      操作:允许
进程路径:C:\Program Files\Common Files\SafeDrvsss.exe
文件路径:C:\Documents and Settings\Administrator\SafeDrvsss.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*

2011-04-10 21:06:19    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\~jqpdr.txt
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*

2011-04-10 21:06:19    创建注册表值      操作:允许
进程路径:C:\Program Files\Common Files\SafeDrvsss.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-10 21:06:19    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Application Data\~jqpdr.txt
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*

2011-04-10 21:06:19    创建注册表值      操作:允许
进程路径:C:\Program Files\Common Files\SafeDrvsss.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:SafeDrvsss
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-10 21:06:20    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~gftpsj.txt
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*

2011-04-10 21:06:20    运行应用程序      操作:允许
进程路径:F:\virus\SafeDrvsss\SafeDrvsss.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F "F:\virus\SafeDrvsss\SafeDrvsss.exe" > nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


重启后顺利进入系统,检测,没有发现MBR被修改。









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

s8706042
发表于 2011-4-10 22:55:32 | 显示全部楼层
已上报趋势~
kill 2 virus (TROJ+Mal)
回复

举报

hddu
发表于 2011-4-10 23:04:09 | 显示全部楼层
本帖最后由 hddu 于 2011-4-11 00:23 编辑

退出EQ及杀软,运行样本,十分钟后重启,系统在进入“欢迎XX”界面静止不动,用任务管理器查看,进程explorer.exe没有启动,用任务管理器创建新任务-浏览启动explorer.exe,无效,explorer.exe出事了,继续用任务管理器创建新任务-浏览启动F:\GHOSTEXP\GHOSTEXP\explorer.exe,系统顺利进入,连接网络,启动金山卫士对所有盘扫描,清除了病毒,检测MBR,没有发现被修改,退出EQ,用F:\GHOSTEXP\GHOSTEXP\explorer.exe替换c:\windows\explorer.exe,重启,系统顺利进入,再次启动金山卫士对所有盘扫描,没有发现病毒。
病毒破坏情况:
影像劫持,破坏explorer.exe,下载病毒,在每个盘下创建exe文件、inf文件。
回复

举报

will
发表于 2011-4-10 23:04:24 | 显示全部楼层
卡巴:
1  Trojan.Win32.Buzus.fwji
2、3、4  HEUR:Trojan-Downloader.Win32.Generic
回复

举报

留侯
发表于 2011-4-11 08:51:34 | 显示全部楼层
大蜘蛛查杀了母体,衍生物全部都clean,已上报!
回复

举报

留侯
发表于 2011-4-11 08:54:04 | 显示全部楼层
9L,大蜘蛛发现一个:
4\guagua.exe - archive RAR
4\guagua.exe/360.exe packed by FLY-CODE
4\guagua.exe/360.exe - OK
4\guagua.exe/autogg.exe - OK
4\guagua.exe/Sunday.dll packed by NSPACK
4\guagua.exe/Sunday.dll - OK
4\guagua.exe - OK

4\pptv.exe packed by UPX
4\pptv.exe probably found virus DLOADER.Trojan

4\qiji.exe - archive RAR
4\qiji.exe/Sunday.dll packed by NSPACK
4\qiji.exe/Sunday.dll - OK
4\qiji.exe/360.exe packed by FLY-CODE
4\qiji.exe/360.exe - OK
4\qiji.exe/autoqiji.exe - OK
4\qiji.exe - OK

4\yese.exe - archive RAR
4\yese.exe/autoyese.exe - OK
4\yese.exe/Sunday.dll packed by NSPACK
4\yese.exe/Sunday.dll - OK
4\yese.exe/360.exe packed by FLY-CODE
4\yese.exe/360.exe - OK
4\yese.exe - OK

余下已上报
回复

举报

sxp3468
发表于 2011-4-11 22:20:47 | 显示全部楼层
今天处理过感染这种病毒的机子,清除后,竟然恢复不了系统,重装也不行。折腾了半天,发现它还会写满还原卡的空间, 因而导致的。
回复

举报

594157544
发表于 2011-4-11 22:23:47 | 显示全部楼层
2011/4/11 22:21:20        HTTP 过滤器        文件        http://bbs.kafan.cn/forum-attach ... kzfDUwNDIwNg==.html        Win32/AutoRun.Delf.EP 蠕虫 的变种        连接中断 - 已隔离        CSIOSI-PC\CSIOSI        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
回复

举报

594157544
发表于 2011-4-11 22:24:32 | 显示全部楼层
2011/4/11 22:22:02        HTTP 过滤器        文件        http://bbs.kafan.cn/forum-attach ... kzfDUwNDIwNg==.html        未查明的 NewHeur_PE 病毒        连接中断 - 已隔离        CSIOSI-PC\CSIOSI        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2011/4/11 22:21:59        HTTP 过滤器        文件        http://bbs.kafan.cn/forum-attach ... kzfDUwNDIwNg==.html        未查明的 NewHeur_PE 病毒        连接中断 - 已隔离        CSIOSI-PC\CSIOSI        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
2011/4/11 22:21:56        HTTP 过滤器        文件        http://bbs.kafan.cn/forum-attach ... kzfDUwNDIwNg==.html        未查明的 NewHeur_PE 病毒        连接中断 - 已隔离        CSIOSI-PC\CSIOSI        通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-14 13:21 , Processed in 0.093617 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表