1   1  /  1  页   跳转

这木马是是个什么情况啊?

这木马是是个什么情况啊?

如上,样本来自29日瑞星挂马分析
到虚拟机里打开一实验 让我诧异的是
这个文件 修改了个windows文件目录的访问权限后
就在一直不停的修改注册表 自动运行
就不在做别的动作了
谁能帮忙看看是怎么回事

付:木马行为 部分记录
2009-6-29 20:46:28    创建新进程    允许
进程: c:\windows\explorer.exe
目标: d:\svchost.exe
命令行: "D:\svchost.exe"
规则: [应用程序]*
2009-6-29 20:46:34    创建新进程    允许
进程: d:\svchost.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c cacls C:\WINDOWS /e /p everyone:f
规则: [应用程序]*
2009-6-29 20:46:53    修改注册表值    允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:46:57    修改注册表值    允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:47:05    修改注册表值    允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:47:10    修改注册表值    允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}

然后就在反复的不停的重复 这一个修改动作
以至于我把这个修改动作设置为信任后 就没反应了

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618)

附件附件:

文件名:svchost.rar
下载次数:298
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-29 20:58:16
描述:rar

分享到:
gototop
 

回复:这木马是是个什么情况啊?

病毒库21.36.44直接给杀了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT