正宗鬼影2

显示全部楼层 · 发表于 2011-4-10 22:11:06

本帖最后由 nazisoft 于 2011-4-10 22:11 编辑

回复 10楼影的告别的帖子

病毒肯定不能穿透虚拟机。但是这个病毒能穿透一切对主引导记录没有保护还原系统，如果影子系统在SSDT一层做HOOK，监视拦截底层磁盘操作，也能防止写入。

显示全部楼层 · 发表于 2011-4-10 22:11:59

回复 11楼 nazisoft 的帖子

呃，学习了

显示全部楼层 · 发表于 2011-4-10 22:15:30

前两个瑞星KILL
后面分卷未测！

显示全部楼层 · 发表于 2011-4-10 22:23:11

本帖最后由 xwhmm 于 2011-4-10 22:25 编辑

秒杀

显示全部楼层 · 发表于 2011-4-10 22:25:16

显示全部楼层 · 发表于 2011-4-10 22:35:18

MSE KILL

显示全部楼层 · 发表于 2011-4-10 22:37:09

已上报趋势~
kill 1 virus (RTKT)

显示全部楼层 · 发表于 2011-4-10 23:28:01

2011-04-10 23:15:16 创建文件    操作:允许
进程路径:F:\virus\Ring3MBR-Rootkit\Ring3MBR-Rootkit.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

2011-04-10 23:15:17 创建文件    操作:允许
进程路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
文件路径:C:\windows\Sie.ini
触发规则:所有程序规则->WINDOWS允许设置->%windir%\*.ini

2011-04-10 23:15:19 创建文件    操作:允许
进程路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\228.tmp
触发规则:应用程序规则->启动文件夹设置->*\*\*菜单\程序\启动\*->*.tmp

2011-04-10 23:15:19 创建文件    操作:允许
进程路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\228.tmp
触发规则:应用程序规则->启动文件夹设置->*\*\*菜单\程序\启动\*->*.tmp

2011-04-10 23:15:19 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
文件路径:C:\WINDOWS\system32\tbhdz.ico
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.ico

2011-04-10 23:15:19 底层写磁盘操作    操作:阻止
进程路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360rps.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-04-10 23:15:20 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ati.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

2011-04-10 23:15:21 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\228.tmp
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

2011-04-10 23:15:21 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\228.tmp
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

2011-04-10 23:15:21 修改文件    操作:允许
进程路径:C:\alh.exe
文件路径:(隐藏文件)C:\Documents and Settings\All Users\「开始」菜单\程序\启动\228.tmp
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

2011-04-10 23:15:23 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\windows\vb.ini
触发规则:所有程序规则->WINDOWS允许设置->%windir%\*.ini

2011-04-10 23:15:25 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\alh.exe
注册表路径:HKEY_CLASSES_ROOT\JE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command*

2011-04-10 23:15:25 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\alh.exe
注册表路径:HKEY_CLASSES_ROOT\IE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command*

2011-04-10 23:15:25 修改注册表内容    操作:阻止
进程路径:C:\alh.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-04-10 23:15:25 修改注册表内容    操作:阻止
进程路径:C:\alh.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-04-10 23:15:25 创建注册表值    操作:阻止
进程路径:C:\alh.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{*}\shell\*\Command

2011-04-10 23:15:25 创建注册表值    操作:阻止
进程路径:C:\alh.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_CLASSES_ROOT\CLSID\{*}\shell\Open*\Command

2011-04-10 23:15:25 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\alh.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-04-10 23:15:25 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\alh.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-04-10 23:15:25 创建文件    操作:阻止
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-04-10 23:15:25 创建文件    操作:使用任务隔离区操作
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-04-10 23:15:25 创建文件    操作:使用任务隔离区操作
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\All Users\桌面\淘宝网.JE
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*

2011-04-10 23:15:28 运行应用程序    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe
命令行:http://dh1.765321.info?1128711
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-10 23:18:24 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VQLYH9MB\PPTV(pplive)_forqd357[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe

2011-04-10 23:18:51 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\windows\al.ini
触发规则:所有程序规则->WINDOWS允许设置->%windir%\*.ini

2011-04-10 23:19:53 创建文件    操作:允许
进程路径:C:\alh.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\NW7H7O30\Setup_10016[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe

至这一步，手工结束alh.exe进程。

显示全部楼层 · 发表于 2011-4-11 00:12:28

显示全部楼层 · 发表于 2011-4-11 00:19:48

實機無法run

[病毒样本] 正宗鬼影2