恶意修改MBR

显示全部楼层 · 发表于 2011-5-13 21:22:32

本帖最后由小飞侠.net 于 2011-5-13 21:32 编辑

样本来源：ht~tp://v.linzixs.com/000/wg_xiaolinzi.com.rar

文件名: D:\Beta\v2011Betadoc0513\beta\004\b\wg_xiaolinzi.com.rar
文件大小: 287951 字节 (281.20 KB)
修改日期: 2011-05-13 16:00
MD5: dff98a5f5b68b0d233d785b9fef0612d
SHA1: 43e78f726d7a9d9f3d98bb5399ef8271d31ee8b3
SHA256: cf15144332205a4dd82611ce13a58604c5c23bf332e90837f8615dad74da8b34
CRC32: 910b69c1

---请在虚拟机中测试，不报的请上报的说，另这只不能在沙盒3.54中运行 ~—~

显示全部楼层 · 发表于 2011-5-13 21:23:14

显示全部楼层 · 发表于 2011-5-13 21:27:00

AVG AVIRA KILL

显示全部楼层 · 发表于 2011-5-13 21:27:50

红伞杀“TR/ATRAPS.Gen [trojan]”。

显示全部楼层 · 发表于 2011-5-13 21:34:04

To ESET.
http://samples.nod32.com.hk/inde ... 148f7d7d2f24823ce55

显示全部楼层 · 发表于 2011-5-13 21:35:56

小a威武

显示全部楼层 · 发表于 2011-5-13 21:36:36

to eset

显示全部楼层 · 发表于 2011-5-13 21:36:51

瑞星 Kill

显示全部楼层 · 发表于 2011-5-13 21:45:36

2011-05-13 21:36:43 创建文件    操作:允许
进程路径:F:\virus\wg_xiaolinzi[1].com\wg\wg.exe
文件路径:C:\windows\svchost.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-05-13 21:36:44 创建文件    操作:允许
进程路径:C:\WINDOWS\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\35W6ZCRI\activex[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe

2011-05-13 21:36:44 创建文件    操作:允许
进程路径:C:\WINDOWS\svchost.exe
文件路径:C:\windows\QQTDownloader.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-05-13 21:36:44 创建注册表值    操作:阻止
进程路径:F:\virus\wg_xiaolinzi[1].com\wg\wg.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:run
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

2011-05-13 21:36:50 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:51 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\31.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:51 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\15.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:51 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\15.exe
文件路径:C:\WINDOWS\system32\mn.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-05-13 21:36:51 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:53 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\889022.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:54 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
文件路径:C:\WINDOWS\system32\popupko.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-05-13 21:36:54 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
文件路径:C:\WINDOWS\system32\popupko.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-05-13 21:36:54 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\popupko.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-05-13 21:36:54 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "c:\supe0d3ef5s1x4a5d7f.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-13 21:36:55 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\117.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:55 运行应用程序    操作:允许
进程路径:C:\WINDOWS\QQTDownloader.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\119.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-13 21:36:56 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
文件路径:C:\Program files\MSDN
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-05-13 21:36:56 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:popupko.dll FunctionStart
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-05-13 21:36:57 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\117.exe
文件路径:C:\tfkeyghuxnmw.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-05-13 21:36:58 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\31.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\311.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2011-05-13 21:37:01 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\QQDownloader.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQDOWN~1.EXE >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-13 21:37:03 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\119.exe
文件路径:C:\smsc.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-05-13 21:37:05 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2011-05-13 21:37:07 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
文件路径:C:\Program files\MSDN\LHL13.sys
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.sys

2011-05-13 21:37:07 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\117.exe
文件路径:C:\tfkeyghuxnmw.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-05-13 21:37:08 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin234.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c time 21:37:00
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-13 21:37:08 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\119.exe
文件路径:C:\mb.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-05-13 21:37:09 底层写磁盘操作    操作:阻止
进程路径:C:\mb.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-05-13 21:37:13 运行应用程序    操作:允许
进程路径:C:\mb.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\mb.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-13 21:37:14 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\mb.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2011-05-13 21:37:43 创建文件    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\WINDOWS\VC.ini
触发规则:所有程序规则->WINDOWS允许设置->%windir%\*.ini

2011-05-13 21:37:50 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\889022.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:MyAutoRun
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-05-13 21:37:53 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://tt.765321.info/?108"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:37:55 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:http://cpm.ejiuad.com/sms/tc.php?id=10
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:37:59 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}*

2011-05-13 21:37:59 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}*

2011-05-13 21:37:59 删除注册表    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\ShellFolder
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-05-13 21:37:59 删除注册表    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\InProcServer32
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-05-13 21:37:59 删除注册表    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-05-13 21:37:59 删除注册表    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
注册表名称:[Key]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}*

2011-05-13 21:37:59 删除注册表    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-05-13 21:37:59 修改注册表内容    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-05-13 21:37:59 修改注册表内容    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
注册表名称:[Default]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}*

2011-05-13 21:37:59 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{*}\shell*

2011-05-13 21:37:59 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{*}\shell\*\Command

2011-05-13 21:37:59 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
注册表名称:[Key]
触发规则:所有程序规则->IE浏览器设置->HKEY_CLASSES_ROOT\CLSID\{*}\shell\Open*\Command

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-05-13 21:37:59 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}.default
更改后:1
更改前:0
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-05-13 21:37:59 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://dh.97780.com?id=11911
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

2011-05-13 21:38:00 创建注册表值    操作:阻止
进程路径:C:\smsc.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Default_Page_URL
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Internet explorer\Main

2011-05-13 21:38:00 删除文件    操作:阻止
进程路径:C:\smsc.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-05-13 21:38:00 创建文件    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\Int*Exp*.*

2011-05-13 21:38:00 创建文件    操作:使用任务隔离区操作
进程路径:C:\smsc.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.IE
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*.*

2011-05-13 21:38:05 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:38:09 运行应用程序    操作:允许
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%windir%\system32\ctfmon.exe

2011-05-13 21:38:13 运行应用程序    操作:允许
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%windir%\system32\ctfmon.exe

2011-05-13 21:38:21 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://tt.765321.info/?108"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:38:29 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:38:46 底层写磁盘操作    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\311.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-05-13 21:38:47 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\311.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\311.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-13 21:38:47 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:39:05 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:39:24 运行应用程序    操作:允许
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-05-13 21:39:49 运行应用程序    操作:阻止
进程路径:C:\smsc.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://cpm.ejiuad.com/sms/tc.php?id=10"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

后面还有动作，略了。

显示全部楼层 · 发表于 2011-5-13 21:47:29

hddu 发表于 2011-5-13 21:45
2011-05-13 21:36:43 创建文件操作:允许
进程路径:F:\virus\wg_xiaolinzi[1].com\wg\wg.exe
文件 ...

这只打开ie次数太多也~~嘿嘿。

[病毒样本] 恶意修改MBR

评分

评分

浏览过的版块