收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 抓的6个[MD5: D403E5 2D2610 12141C 51B411 AC7760]
12345
返回列表 发新帖
楼主: 一派胡言
 收起左侧

[病毒样本] 抓的6个[MD5: D403E5 2D2610 12141C 51B411 AC7760]

[复制链接]
a256886572008
发表于 2007-6-11 23:13:26 | 显示全部楼层
運行3341.exe,發現下列行為,被EQ-Secure RC2攔截!
---------------
2007-06-11 23:09:56    运行应用程序      操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:D:\桌面\virus\33411_2\33411\3341.exe
规则:所有程序规则->ALL->*.*


2007-06-11 23:09:57    创建文件      操作:阻止
进程路径:D:\桌面\virus\33411_2\33411\3341.exe
文件路径:C:\Documents and Settings\Default User\PrintHood\system.com
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.com


2007-06-11 23:09:57    创建文件      操作:阻止
进程路径:D:\桌面\virus\33411_2\33411\3341.exe
文件路径:C:\Documents and Settings\Default User\PrintHood\system.com
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.com


2007-06-11 23:09:57    创建文件      操作:阻止
进程路径:D:\桌面\virus\33411_2\33411\3341.exe
文件路径:C:\Documents and Settings\Default User\PrintHood\system.com
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.com


2007-06-11 23:09:58    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Plug and Play administrator_jg
注册表名称:[Key]
规则:所有程序规则->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

--------------------------------------------------------------------
1.他會在下列路徑產生system.com
   C:\Documents and Settings\Default User\PrintHood\
2.他會修改注册表内容
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Plug and Play administrator_jg
   [Key]
回复

举报

kp2006
头像被屏蔽
发表于 2007-6-11 23:15:39 | 显示全部楼层
Win32:Hupigon-AHB [Trj]
回复

举报

a256886572008
发表于 2007-6-11 23:19:39 | 显示全部楼层
運行2.bat,發現下列行為,被EQ-Secure RC2攔截!
---------------
2007-06-11 23:17:34    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\dllcache\tftp.exe
规则:所有程序规则->2.1.2保護系統進程->*\*system*.exe


2007-06-11 23:17:34    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\dllcache\ftp.exe
规则:所有程序规则->2.1.2保護系統進程->*\*system*.exe


2007-06-11 23:17:34    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\tftp.exe
规则:所有程序规则->2.1.2保護系統進程->*\*system*.exe


2007-06-11 23:17:34    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\ftp.exe
规则:所有程序规则->2.1.2保護系統進程->*\*system*.exe

-----------------------------------------------
1.他想利用cmd.exe來殺掉C:\WINDOWS\system32\中的
   dllcache\tftp.exe
   dllcache\ftp.exe
   tftp.exe
   ftp.exe
回复

举报

kristen2
发表于 2007-6-12 00:02:35 | 显示全部楼层
原帖由 EQ2 于 2007-6-11 21:23 发表
用vb编写的脚本。。。。同样的js就是用java编写的脚本

你也就这种水平了,时不时的总会露出马脚来,不要在那里找借口,环顾左右而言他了好不好,每次你都只会岔开话题,真是对你无语了,不懂就少说话。
我都替你汗了。

[ 本帖最后由 kristen2 于 2007-6-12 00:05 编辑 ]
回复

举报

12345
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-28 03:25 , Processed in 0.097374 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表