收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 感染MBR~~~禁用IPS的马儿
123456下一页
返回列表 发新帖
楼主: 小飞侠.net
 收起左侧

[病毒样本] 感染MBR~~~禁用IPS的马儿

  [复制链接]
FreeEquFraT
发表于 2011-4-22 23:02:00 | 显示全部楼层
回复 30楼 byxxdrls 的帖子

process monitor我都不会用啊,看日志感觉还挺专业的。手动的HIPS其实不难,我刚开始接触MD的时候也是什么都不会,教程啊,帖子啊多看一点,然后自己动手试一下很快就上手了,而且你的水平比我高很多,应该能比我更快上手的。
回复

举报

byxxdrls
头像被屏蔽
发表于 2011-4-22 23:06:04 | 显示全部楼层
回复 31楼 FreeEquFraT 的帖子

呵呵,我玩病毒纯粹是娱乐,不是为学习。水平嘛,和电脑接触了这么多年,也就是这水平。不追求提高水平,只求快乐。

process monitor虽然很强大,但我用它来监控病毒,只需添加两条过滤规则:操作--是--写入文件,操作-是-注册表设置值。当然这样下来,没用的信息也不少。
回复

举报

FreeEquFraT
发表于 2011-4-22 23:07:58 | 显示全部楼层
回复 32楼 byxxdrls 的帖子

呵呵,你觉得快乐就行了,我现在也只会用MD来看病毒的行为,像process monitor、regmonitor这种的软件我也是不会用。
回复

举报

hddu
发表于 2011-4-22 23:22:57 | 显示全部楼层
回复 25楼 byxxdrls 的帖子

2011-04-22 23:13:59    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm?id=001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:05    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.456t.com/index92.htm?id=09"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:11    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:21    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:27    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:33    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:40    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-22 23:14:48    运行应用程序      操作:允许
进程路径:F:\virus\acc\acc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

不停打开网页,只好手动结束了。未发现MBR被修改。

回复

举报

byxxdrls
头像被屏蔽
发表于 2011-4-22 23:24:34 | 显示全部楼层
回复 34楼 hddu 的帖子

我这儿虽然有网络访问行为,却没打开一个网页,也许和你系统补丁打全了有关吧。我可是在虚拟机上运行,没打全补丁的。
回复

举报

hddu
发表于 2011-4-22 23:36:43 | 显示全部楼层
退出防护软件测试,出外办事,二十分钟后,直接重启电脑,出现蓝屏重启,按F8键,选择最近一次正确配置,顺利进入系统。启用TDSSKiller.exe、BOOTICE.EXE、XueTr.exe、PowerTool.exe,未发现MBR被修改,桌面多了几个流氓图标,用无影无踪WYWZ解决了,其他生成物,全部手动杀掉。
回复

举报

hddu
发表于 2011-4-22 23:41:36 | 显示全部楼层
回复 16楼 byxxdrls 的帖子

2011-04-22 23:37:00    运行应用程序      操作:允许
进程路径:F:\virus\tj1\tj1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\acc.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-22 23:37:00    运行应用程序      操作:允许
进程路径:F:\virus\tj1\tj1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-04-22 23:37:09    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\WINDOWS\VC.ini
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}*

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}*

2011-04-22 23:37:30    删除注册表      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\ShellFolder
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-04-22 23:37:30    删除注册表      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\InProcServer32
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-04-22 23:37:30    删除注册表      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-04-22 23:37:30    删除注册表      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-04-22 23:37:30    删除注册表      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-04-22 23:37:30    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-04-22 23:37:30    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-04-22 23:37:30    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}*

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{*}\shell*

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{*}\shell\*\Command

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_CLASSES_ROOT\CLSID\{*}\shell\Open*\Command

2011-04-22 23:37:30    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-04-22 23:37:30    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-04-22 23:37:30    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}.default
更改后:1
更改前:0
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-04-22 23:37:30    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.46.com/index91.htm?id=1312
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

2011-04-22 23:37:30    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Default_Page_URL
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

2011-04-22 23:37:30    删除文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-04-22 23:37:30    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-04-22 23:37:30    创建文件      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ie.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置(二)->*\Int*Exp*

回复

举报

李不知
发表于 2011-4-23 00:10:14 | 显示全部楼层
回复 26楼 FreeEquFraT 的帖子


应该有GHOST行为

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hj5abc
发表于 2011-4-23 00:10:43 | 显示全部楼层
mse kill
VirTool:WinNT/Rootkitdrv.LH
TrojanDropper:Win32/Crenufs.A
回复

举报

李不知
发表于 2011-4-23 00:12:31 | 显示全部楼层
回复 16楼 byxxdrls 的帖子

这个ACC同一个,病毒型号!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-14 13:24 , Processed in 0.098410 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表