绿骨魔病毒(捆绑安装)!
病毒名称:AntiVir TR/Dldr.Delphi.Gen
Kaspersky Trojan-Dropper.Win32.Agent.bjw
传播方式: 安装包
多引擎扫描结果:[url=http://www.virustotal.com/zh-cn/analisis/b23f1b12fa2fcf10ebe512e91fd55237]http://www.virustotal.com/zh-cn/ ... f10ebe512e91fd55237[/url]
测试平台:XP SP3
测试工具:EQ
还未开始安装 就释放exe dll 等操作 一大堆 明显不正常!
[attach]326234[/attach]
[attach]326235[/attach]
[attach]326236[/attach]
部分日志:
[quote]2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ghost.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ghost.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastU3.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastU3.exe
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.com
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:35:49 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.com
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
2008-08-04 22:36:09 运行应用程序 操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0ebc5157d202ddfb.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
触发规则:所有程序规则->*
2008-08-04 22:36:17 修改文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:(隐藏文件)C:\Program Files\Common Files\System\jnygoom.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:36:21 修改文件 操作:允许
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:36:24 访问服务管理器 操作:允许
进程路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
触发规则:所有程序规则->*
2008-08-04 22:36:26 修改文件 操作:允许
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:(隐藏文件)C:\Program Files\Common Files\System
触发规则:所有程序规则->全局文件夹保护->?:\Program Files*
2008-08-04 22:36:26 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:AVP
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2008-08-04 22:36:26 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:KVMON
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2008-08-04 22:36:30 修改文件 操作:允许
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:36:36 修改文件 操作:允许
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:(隐藏文件)C:\Program Files\Common Files\Microsoft Shared
触发规则:所有程序规则->全局文件夹保护->?:\Program Files*
2008-08-04 22:36:36 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2008-08-04 22:36:36 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2008-08-04 22:36:36 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2008-08-04 22:36:36 删除注册表 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2008-08-04 22:36:36 修改注册表内容 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:Type
更改后:checkbox2
更改前:checkbox
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*
2008-08-04 22:36:36 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*
[/quote]
[quote]2008-08-04 22:42:05 创建文件 操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LetvLive.016.004.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nst6.tmp\InetLoad.dll
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.dll
2008-08-04 22:42:07 读取文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.inf
2008-08-04 22:42:07 读取文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.inf
2008-08-04 22:42:07 读取文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.inf
2008-08-04 22:42:07 读取文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.inf
2008-08-04 22:42:07 读取文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.inf
2008-08-04 22:42:09 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:dvqljvh
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2008-08-04 22:42:13 创建文件 操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LetvLive.016.004.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\LetvLive.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:42:15 创建文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\dvqljvh.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:42:17 创建注册表值 操作:阻止
进程路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:dvqljvh
触发规则:所有程序规则->自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2008-08-04 22:42:20 删除文件 操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LetvLive.016.004.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\LetvLive.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:42:34 修改文件 操作:阻止
进程路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
文件路径:C:\Program Files\Common Files\System\jnygoom.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
2008-08-04 22:42:41 删除文件 操作:阻止
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LetvLive.016.004.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nst6.tmp\InetLoad.dll
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.dll
2008-08-04 22:42:44 创建文件 操作:阻止
进程路径:C:\Program Files\Common Files\System\jnygoom.exe
文件路径:C:\dvqljvh.exe
触发规则:所有程序规则->全局可执行文件_普通模式->?:\*.exe
[/quote]
访问权限:[quote]2008-08-04 22:38:08 运行应用程序 操作:允许
进程路径:C:\Program Files\Common Files\Microsoft Shared\tnrumdp.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c echo Y| cacls C:\Program Files\meex.exe /t /g everyone:F
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2008-08-04 22:38:16 运行应用程序 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\Program Files\dld.dat /t /g everyone:F
触发规则:所有程序规则->系统程序_黑名单->%Windir%\system32\cacls.exe
[/quote]
[color=#ff0000]防范对策和规则: [/color]
[color=#ff0000][/color]
[color=#ff0000]监视可执行文件的创建. [/color]
[color=#ff0000][/color]
[color=#ff0000]重点监视 C:\Program Files\Common Files\Microsoft Shared\* 下的可执行文件[/color]
[color=#ff0000][/color]
[color=#ff0000]保护C盘跟目录的文件! 禁读autorun.inf [/color]
[color=#ff0000][/color]
[color=#ff0000]保护安全模式 HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*[/color]
[color=#ff0000][/color]
[color=#ff0000]禁止 *\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options* [/color]
[color=#ff0000][/color]
[color=#ff0000]禁止运行 [/color][color=red]%Windir%\system32\cacls.exe cmd.exe[/color]
[color=#ff0000][/color]
[color=red]保护 资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*[/color]
[color=#ff0000][/color]
[color=#ff0000]自启动项就不用说了[/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[[i] 本帖最后由 sanhu35 于 2008-8-6 15:47 编辑 [/i]]
页:
[1]