收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 职业小白、为您测试各类病毒,有样本,就跟帖吧!
123
返回列表 发新帖
楼主: x-da
 收起左侧

[病毒样本] 职业小白、为您测试各类病毒,有样本,就跟帖吧!

  [复制链接]
zhousulin5
发表于 2011-5-6 00:20:18 | 显示全部楼层
x-da 发表于 2011-5-5 23:43
回复 17楼 hddu 的帖子

不镜像劫持~

好样的。支持一把。
回复

举报

liulangzhecgr
发表于 2011-5-6 13:47:26 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-5-6 13:48 编辑
x-da 发表于 2011-5-5 23:43
回复 17楼 hddu 的帖子

不镜像劫持~


没有找出病毒驱动?!...rootkit 病毒啊!
回复

举报

hddu
发表于 2011-5-6 15:37:53 | 显示全部楼层
liulangzhecgr 发表于 2011-5-6 13:47
没有找出病毒驱动?!...rootkit 病毒啊!

2011-05-06 15:31:02    运行应用程序      操作:允许
进程路径:F:\virus\3\download.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\octemlx.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-05-06 15:31:03    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-05-06 15:31:04    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\system32\rpyrzza.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*


2011-05-06 15:31:04    修改文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\system32\rpyrzza.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-05-06 15:31:04    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\system32\drivers\vxvigv.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys


2011-05-06 15:31:05    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime
注册表名称:SID
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime


2011-05-06 15:31:05    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\drivers\vxvigv.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-05-06 15:31:05    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\vxvigv.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-05-06 15:31:05    创建文件      操作:阻止
进程路径:System
文件路径:C:\WINDOWS\system32\drivers\ftlfyye.sys
触发规则:应用程序规则->WINDOWS文件设置->System->?:\*


2011-05-06 15:31:07    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE


2011-05-06 15:32:01    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\system32\klfgpc.bat
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*


2011-05-06 15:32:01    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\upgefg.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\klfgpc.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-05-06 15:32:02    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\klfgpc.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


回复

举报

hddu
发表于 2011-5-6 15:53:00 | 显示全部楼层
liulangzhecgr 发表于 2011-5-6 13:47
没有找出病毒驱动?!...rootkit 病毒啊!

2011-05-06 15:48:03    创建文件      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOWS\system32\iuayimv.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-05-06 15:48:03    修改文件      操作:阻止
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOWS\system32\iuayimv.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-05-06 15:48:03    创建文件      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOWS\system32\drivers\owtoztq.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys


2011-05-06 15:48:03    创建注册表值      操作:阻止
进程路径:F:\virus\3\tiwylq.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime
注册表名称:SID
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime


2011-05-06 15:48:03    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\drivers\owtoztq.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-05-06 15:48:03    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\owtoztq.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-05-06 15:48:03    创建文件      操作:阻止
进程路径:System
文件路径:C:\WINDOWS\system32\drivers\makse.sys
触发规则:应用程序规则->System设置->System->?:\*


2011-05-06 15:48:06    运行应用程序      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://www.go2000.cn/index3.htm
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe


2011-05-06 15:48:31    运行应用程序      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://www.go2000.cn/index3.htm
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe


2011-05-06 15:48:47    运行应用程序      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://www.go2000.cn/index3.htm
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe


2011-05-06 15:49:08    创建文件      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOWS\system32\gvlwkd.bat
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.bat


2011-05-06 15:49:08    运行应用程序      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\system32\gvlwkd.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-05-06 15:49:09    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\gvlwkd.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat


回复

举报

liulangzhecgr
发表于 2011-5-6 18:34:50 | 显示全部楼层
hddu 发表于 2011-5-6 15:53
2011-05-06 15:48:03    创建文件      操作:允许
进程路径:F:\virus\3\tiwylq.exe
文件路径:C:\WINDOW ...

http://bbs.kafan.cn/thread-910216-1-1.html
回复

举报

lf968
发表于 2011-5-6 19:14:59 | 显示全部楼层
zhousulin5 发表于 2011-5-5 16:29
正好,刚刚被这个玩意吓了一大跳,(除了加载动态库允许)什么都阻止的,居然被它关了防火墙。楼主试试看。 ...

Program Guard: rmb.exe        2011/5/6 19:10        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe wants to get a list of the files C:\*
Program Guard: rmb.exe -> ShellWindows        2011/5/6 19:10        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to remotely control ShellWindows
Firewall: User decision        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe, Outgoing TCP access blocked to: (muhecuxudy.com;bivudywigana.com) 74.62.154.219:80
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\shell - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\MACHINE\SOFTWARE\Classes\.exe - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  8, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\ - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\DefaultIcon - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  8, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\Content Type - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\shell - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\DefaultIcon - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  8, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\ - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  8, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\exefile\Content Type - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: Registry, PID: 788, Act:  1, Idn: 0, Mask: \REGISTRY\USER\S-1-5-21-3967847571-3398153747-2210395389-1001_CLASSES\.exe - Deny (rule)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 2948, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe -> AmIcoSinglun64.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe(2948)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 2388, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe -> RAVBg64.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe(2388)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 2644, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe -> RAVCpl64.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe(2644)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 2924, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe -> rundll32.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Windows\System32\rundll32.exe(2924)
Program Guard: rmb.exe -> taskhost.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Windows\System32\taskhost.exe(1828)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 1828, Mask: 1FFFFF - 1FF414
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 1672, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe -> explorer.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Windows\explorer.exe(1672)
Program Guard: rmb.exe -> dwm.exe        2011/5/6 19:09        Blocked        C:\Users\xxxx\Desktop\rmb\rmb.exe(788) wants to open C:\Windows\System32\dwm.exe(1624)
Program Guard: kernel event        2011/5/6 19:09        None        OADriver: OB_OPERATION_HANDLE_CREATE, 788 -> 1624, Mask: 1FFFFF - 1FF414
Program Guard: rmb.exe        2011/5/6 19:09        Allowed        C:\Windows\explorer.exe -> C:\Users\xxxx\Desktop\rmb\rmb.exe
回复

举报

x-da
头像被屏蔽
 楼主| 发表于 2011-5-6 19:37:27 | 显示全部楼层
回复 22楼 liulangzhecgr 的帖子

有啊~
有加载驱动啊~~
但是清杀并不困难~

所以就没去深究了~

不错的样本~~留着有空~
回复

举报

liulangzhecgr
发表于 2011-5-7 06:31:19 | 显示全部楼层
x-da 发表于 2011-5-6 19:37
回复 22楼 liulangzhecgr 的帖子

有啊~

手杀此样本时用XT结果没有找出病毒驱动。。。
最后用gmer来删除!故印象特别深!而推荐给你的!
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-15 07:09 , Processed in 0.095310 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表