TheWorld_setup.exe

显示全部楼层 · 发表于 2011-5-31 19:34:58

http://hz.100down.com/new_softdown/201007/TheWorld.rar

压缩包4.15M
解压后200M+

http://www.virustotal.com/file-s ... 1779d381-1306840662

显示全部楼层 · 发表于 2011-5-31 19:36:33

本帖最后由 z2009 于 2011-5-31 19:43 编辑

点击，金山报钓鱼欺诈网站
下载后金山报木马
红伞wg没检测出，右键杀之

显示全部楼层 · 发表于 2011-5-31 19:46:03

显示全部楼层 · 发表于 2011-5-31 19:48:18

z2009 发表于 2011-5-31 19:36
点击，金山报钓鱼欺诈网站
下载后金山报木马
红伞wg没检测出，右键杀之

你见过WG杀得到，本地监控漏过的样本吗？好像没有的……所以我从来不装WG

显示全部楼层 · 发表于 2011-5-31 19:52:31

大蜘蛛clean，文件加了壳：
TheWorld\TheWorld_setup.exe 已打包，方式： BINARYRES
TheWorld\TheWorld_setup.exe - 压缩文件 BINARYRES

TheWorld\TheWorld_setup.exe/data001/plugin\ImageZ\ImageZ.exe 已打包，方式： UPX
TheWorld\TheWorld_setup.exe/data001/TheWorld.exe 已打包，方式： ZLIB
TheWorld\TheWorld_setup.exe/data001/TheWorld.exe - 压缩文件 BINARYRES

已上报！

显示全部楼层 · 发表于 2011-5-31 20:09:40

360 WD 拦截

显示全部楼层 · 发表于 2011-5-31 20:09:45

显示全部楼层 · 发表于 2011-5-31 20:10:03

ESET killed
G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\TheWorld.rar > RAR > TheWorld\TheWorld_setup.exe - Win32/TrojanDropper.Delf.NVF 特洛伊木马的变种

显示全部楼层 · 发表于 2011-5-31 20:31:18

本帖最后由 ppy0606 于 2011-5-31 20:52 编辑

刚刚没看清....阻止了··

修改再跑··

2011-5-31 20:47:49 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
命令行: "D:\我的文档\virus test\TheWorld\TheWorld\TheWorld_setup.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-5-31 20:47:51 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\g810\TheWorld_setup.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.exe

2011-5-31 20:47:53 创建文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:47:54 创建文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\dezoe
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:47:55 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\dezoe\pat.xml
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:47:56 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\dezoe\posles.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-5-31 20:48:00 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\faneos.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:02 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\nocoef.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:09 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\dezoe\posles.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-5-31 20:48:12 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\faneos.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:14 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\nocoef.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:16 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\faneos.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:17 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Whecw.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:19 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\nocoef.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:21 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Gaiyt.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:23 修改文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\dezoe
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:25 创建文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:27 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf\posles.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-5-31 20:48:30 创建文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf\Ifojo.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-5-31 20:48:32 修改文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Common Files\System\Ole DB\MSPat.xml
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:37 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf\pat.xml
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:37 创建注册表项阻止
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BPFU
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-5-31 20:48:37 创建注册表项阻止
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BPFU
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-5-31 20:48:42 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Common Files\System\Ole DB\MSPat.xml
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:45 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Gaiyt.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:49 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf\Ifojo.dll
规则: [文件组]文件阻止及保护 -> [文件]*; *.dll

2011-5-31 20:48:51 删除文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Naejf
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:48:52 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl\Whecw.exe
规则: [文件组]文件阻止及保护 -> [文件]*; *.exe

2011-5-31 20:48:52 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\System Volume Information\_restore{2794ECD6-1483-44B4-9DFA-B5E26AFE14DE}\RP8\RestorePointSize
规则: [文件组]限制写入组 -> [文件]?:\system volume information\*

2011-5-31 20:48:59 删除文件夹允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Program Files\Gopl
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-5-31 20:49:13 删除文件允许
进程: d:\我的文档\virus test\theworld\theworld\theworld_setup.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\g810\TheWorld_setup.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.exe

显示全部楼层 · 发表于 2011-5-31 20:45:23

ppy0606 发表于 2011-5-31 20:31
2011-5-31 20:27:50 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\virus tes ...

安装程序，乃阻止了，还能正常使用吗？

[病毒样本] TheWorld_setup.exe

本帖子中包含更多资源

评分

评分

评分