fake（更新851楼）

显示全部楼层 · 发表于 2011-4-24 21:45:52

kurakimai 发表于 2011-4-24 21:44
回复 109楼咆哮的蜗牛的帖子

看来QVM的确有点过分

启发优势

显示全部楼层 · 发表于 2011-4-24 21:49:16

108L，大蜘蛛clean，文件加了壳；
pusk2.exe packed by FLY-CODE
已上报！

显示全部楼层 · 发表于 2011-4-24 21:52:44

本帖最后由 Ricty 于 2011-4-24 21:56 编辑

108L Avira扫描未报，上传

pusk2.exe

to Avira

显示全部楼层 · 发表于 2011-4-24 22:10:48

回复 108楼 kurakimai 的帖子

2011-04-24 22:03:51 创建文件    操作:允许
进程路径:F:\virus\pusk2\pusk2.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Local Settings\Application Data\*

2011-04-24 22:03:55 创建注册表值    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:DoNotAllowExceptions
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy*

2011-04-24 22:03:56 创建注册表值    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:DisableNotifications
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy*

2011-04-24 22:03:56 修改注册表内容    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-04-24 22:03:56 修改注册表内容    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-04-24 22:03:56 修改注册表内容    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-04-24 22:03:56 修改注册表内容    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-04-24 22:03:56 修改注册表内容    操作:阻止
进程路径:F:\virus\pusk2\pusk2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-04-24 22:03:57 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\fpo86053p51a7fx3pom01y
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Local Settings\Application Data\*

2011-04-24 22:03:57 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
文件路径:C:\Documents and Settings\All Users\Application Data\fpo86053p51a7fx3pom01y
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*

2011-04-24 22:03:57 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
文件路径:C:\Documents and Settings\Administrator\Templates\fpo86053p51a7fx3pom01y
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Templates\*

2011-04-24 22:04:00 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
文件路径:F:\virus\pusk2\pusk2.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\*

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\*

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command*

2011-04-24 22:04:13 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\mox.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

显示全部楼层 · 发表于 2011-4-24 22:18:43

回复 114楼 hddu 的帖子

行为上应该没什么变化

主要是免杀

显示全部楼层 · 发表于 2011-4-24 23:26:40

本帖最后由 594157544 于 2011-4-24 23:30 编辑

108L eset kill 金山报毒

2011/4/24 23:24:15 HTTP 过滤器文件 http://bbs.kafan.cn/forum-attach ... Y5fDUwNDIwNg==.html Win32/Kryptik.MZH 特洛伊木马的变种连接中断 - 已隔离 CSIOSI-PC\CSIOSI 通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe.

显示全部楼层 · 发表于 2011-4-24 23:33:33

瑞星木马防御KILL

显示全部楼层 · 发表于 2011-4-24 23:46:28

108L
Oxalis 扫描日志

扫描设置
启发式分析(Detective): 打开
云扫描(Cloud): 云 1、云 2 启用

探针(Probe): 打开
扫描目标: G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\pusk2.exe

扫描于 2011-4-24 23:41:59 开始。

G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\pusk2.exe - Suspicious.Cloud
共计 1 个威胁。
共计 1 个对象。
扫描于 31 秒内完成。
扫描于 2011-4-24 23:42:30 结束。

显示全部楼层 · 发表于 2011-4-25 09:17:27

108L
ess kill

D:\下载文件夹\pusk2.rar > RAR > pusk2.exe - Win32/Adware.XPAntiSpyware.AB 应用程序

显示全部楼层 · 发表于 2011-4-25 18:05:37

UPDATE

[病毒样本] fake（更新851楼）