病毒一枚～

显示全部楼层 · 发表于 2011-4-29 09:11:26

回复 12楼 liulangzhecgr 的帖子

这个是个自解压 TEMP下释放a.avi（其实也是PE格式的）
但沙盘运行同样无果难道反沙盘反虚拟机？

显示全部楼层 · 发表于 2011-4-29 09:31:02

回复 21楼 hj5abc 的帖子

在EQ监控下点击运行,自动重启!(两次表现相同)重启后系统提示:严重错误中恢复过来!之外无果!

关闭EQ运行,进程出现就没有!没有发现什么异常!再打开EQ时规则文件被丢...!

显示全部楼层 · 发表于 2011-4-29 10:06:07

http://www.virscan.org/report/2c ... 343db47ce955cc.html

显示全部楼层 · 发表于 2011-4-29 10:32:33

2011-04-29 10:18:21 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:21 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:21 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:22 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:22 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:22 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:22 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

2011-04-29 10:18:22 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

显示全部楼层 · 发表于 2011-4-29 10:34:29

看不到咸片，电脑也没有重启。

显示全部楼层 · 发表于 2011-4-29 10:39:30

回复 21楼 hj5abc 的帖子

2011-4-29 10:28:25 修改文件允许
进程: d:\download\infected\禁片-罗曼史[中文字幕]　.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]本地磁盘分区 -> [文件]\device\namedpipe\*

2011-4-29 10:28:26 加载动态链接库阻止
进程: c:\windows\system32\regsvr32.exe
目标: c:\documents and settings\cwb\local settings\temp\ixp000.tmp\a.avi
规则: [应用程序]c:\windows\system32\*.exe -> [动态链接库]c:\documents and settings\测试\local settings\temp\*
======================
没有进一步放开测试，不过估计病毒注入到regsvr32是其攻击的关键步骤。从这个日志，规则可以有新的想法，阻止一切程序把avi后缀的文件作为动态库加载。

显示全部楼层 · 发表于 2011-4-29 10:55:23

不错的东西试试

显示全部楼层 · 发表于 2011-4-29 10:55:44

"阻止一切程序把avi后缀的文件作为动态库加载。 "
此法不可取，原因自己想想，不多说。

显示全部楼层 · 发表于 2011-4-29 11:05:47

本帖最后由 liulangzhecgr 于 2011-4-29 11:11 编辑

回复 26楼 zhousulin5 的帖子

样本运行后大概一个多小时后近来...观察:电脑爬得如牛!
svchost.exe...?!太占cpu !

-------------------------
连接一大堆指定的ip地址!

显示全部楼层 · 发表于 2011-4-29 11:09:17

回复 28楼 hddu 的帖子

既然你知道原因，说一下又何妨？
我想不明白为什么不可取。

[病毒样本] 病毒一枚～

浏览过的版块