MSN傳過來的

显示全部楼层 · 发表于 2011-4-12 01:51:54

本帖最后由英仔于 2011-4-12 02:05 编辑

毒眼秒殺
行為如下

http://virscan.org/report/8747ec06f36cc66189f241c501b65ebf.html

文件的位置: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
<启动方式>  :  不能自动启动
<当前状态>  :  文件已被删除

运行次数 :  4    首次运行 : 2011-03-03 02:36:47    最近运行 : 2011-03-03 02:36:49
   文件传递和复制记录:
-------------------------------------------------------------
时间 : 3- 3  2:36:49
执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
传入的文件:  C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\0531663.EXE
动作说明 : 传入
远端 IP : 85.158.248.220(参考地址:英国) www.soundzgood.nl
时间 : 3- 3  2:36:49
执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
传入的文件:  C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\95TT9R56\KUIN[1].EXE
动作说明 : 传入
远端 IP : 85.158.248.220(参考地址:英国) www.soundzgood.nl
   文件移动(改名)经过:
-------------------------------------------------------------

      修改时间 : 2011-03-03 02:36:36
      旧文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\VMWAREDND\6CAFC55B\DSC00420202011.JPG.SCR
      新文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
      执行者 : C:\WINDOWS\EXPLORER.EXE
   网络连接数 : 1
-------------------------------------------------------------
连接的所有IP及参考地址:
   255.255.255.255 (未知地址)
详细记录(这里列举最多1000条):
连接完成时间    对方IP          持续时间(秒) 接收字节数发送字节数  参考地址          网址
-------------------------------------------------------------------------------------------------
3- 3  2:36:49  255.255.255.255 0          0       0                            www.soundzgood.nl
   运行记录:
-------------------------------------------------------------

      启动时间: 2011-03-03 02:36:47
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数:  C:\Documents and Settings\Administrator\桌面\DSC00420202011.JPG.scr  /S

      启动时间: 2011-03-03 02:36:47
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数: API 方式加载

      启动时间: 2011-03-03 02:36:49
      启动者: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
      启动参数:  C:\Documents and Settings\Administrator\桌面\DSC00420202011.JPG.scr

      启动时间: 2011-03-03 02:36:49
      启动者: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
      启动参数: API 方式加载
   文件变更过程:
-------------------------------------------------------------
      操作者 : C:\WINDOWS\EXPLORER.EXE
      操作时间 : 2011-03-03 02:36:36
      操作类型 : 新建
      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:36:57
      操作类型 : 删除
      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:36:57
      操作类型 : 删除
   该程序操作的文件(共2)
-------------------------------------------------------------
      文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\0531663.EXE
      时间 : 2011-03-03 02:36:49
      动作 : 新建
      文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\95TT9R56\KUIN[1].EXE
      时间 : 2011-03-03 02:36:49
      动作 : 新建

   该文件运行的所有程序:
-------------------------------------------------------------

      程序路径 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
      运行时间 : 2011-03-03 02:36:49
      运行参数 :  C:\Documents and Settings\Administrator\桌面\DSC00420202011.JPG.scr

      程序路径 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DSC00420202011.JPG.SCR
      运行时间 : 2011-03-03 02:36:49
      运行参数 : API 方式加载

      程序路径 : C:\WINDOWS\SYSTEM32\NET.EXE
      运行时间 : 2011-03-03 02:37:38
      运行参数 : net start escoutservice1

      程序路径 : C:\WINDOWS\SYSTEM32\NET1.EXE
      运行时间 : 2011-03-03 02:37:39
      运行参数 : net1 start escoutservice1
   注册表操作(共3)
-------------------------------------------------------------
      操作时间 : 2011-03-03 02:36:49
      行    为 : 设置
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS\
      值    名 : Cache
      类    型 : REG_SZ
      旧    值 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
      新    值 : C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
      操作时间 : 2011-03-03 02:36:49
      行    为 : 设置
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS\
      值    名 : Cookies
      类    型 : REG_SZ
      旧    值 : C:\Documents and Settings\LocalService\Cookies
      新    值 : C:\Documents and Settings\Administrator\Cookies
      操作时间 : 2011-03-03 02:36:49
      行    为 : 设置
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS\
      值    名 : History
      类    型 : REG_SZ
      旧    值 : C:\Documents and Settings\LocalService\Local Settings\History
      新    值 : C:\Documents and Settings\Administrator\Local Settings\History

显示全部楼层 · 发表于 2011-4-12 01:59:03

红伞没WG都不让下载

显示全部楼层 · 发表于 2011-4-12 02:51:29

360
D:\DOWNLOAD\DSC00420202011.JPG.zip=>dsc00420202011.jpg.scr 行为和木马比较相似的程序已删除

显示全部楼层 · 发表于 2011-4-12 07:36:48

本帖最后由 xwhmm 于 2011-4-12 07:37 编辑

bd kill ,金山 kill ,kis miss

显示全部楼层 · 发表于 2011-4-12 07:45:27

本帖最后由 xwhmm 于 2011-4-12 07:45 编辑

极速秒杀

显示全部楼层 · 发表于 2011-4-12 08:48:23

显示全部楼层 · 发表于 2011-4-12 08:54:59

ess kill

D:\下载文件夹\DSC00420202011.JPG.rar > ZIP > DSC00420202011.JPG.scr - Win32/Injector.FRS 特洛伊木马的变种

显示全部楼层 · 发表于 2011-4-12 09:08:25

2011-04-12 09:03:37 创建文件    操作:允许
进程路径:F:\virus\DSC00420202011[1].JPG\DSC00420202011.JPG.scr
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZWFOWA3X\kuin[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe

2011-04-12 09:03:40 运行应用程序    操作:允许
进程路径:F:\virus\DSC00420202011[1].JPG\DSC00420202011.JPG.scr
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-12 09:03:56 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2011-04-12 09:03:56 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
文件路径:C:\Documents and Settings\Administrator\Microsoft-Driver-1-82-3875-8725-4265
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\Administrator\*

2011-04-12 09:03:56 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
文件路径:C:\Documents and Settings\Administrator\Microsoft-Driver-1-82-3875-8725-4265\winsvn.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-04-12 09:03:56 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
文件路径:C:\Documents and Settings\Administrator\Microsoft-Driver-1-82-3875-8725-4265\winsvn.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-04-12 09:03:56 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
文件路径:C:\Documents and Settings\Administrator\Microsoft-Driver-1-82-3875-8725-4265\winsvn.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-04-12 09:03:56 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表名称:C:\Documents and Settings\Administrator\Microsoft-Driver-1-82-3875-8725-4265\winsvn.exe
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*\AuthorizedApplications\List

2011-04-12 09:04:00 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\3992989.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:MicrosoftServiceUpdates
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

显示全部楼层 · 发表于 2011-4-12 09:37:04

瑞星一点连接，还没下载就报毒了

显示全部楼层 · 发表于 2011-4-12 09:46:54

金山报木马。。。。

[病毒样本] MSN傳過來的

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块