过瑞星木马行为防御的样本分析 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区过瑞星木马行为防御的样本分析

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

过瑞星木马行为防御的样本分析

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-07-25 12:43 \| 只看楼主短消息资料字号：小中大 1楼过瑞星木马行为防御的样本分析昨天我可是吧样本挨个点了一遍过滤出来的今天来测试下样本1 090724-1-8 释放dll后无下文 2009-07-25 12:32:10 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-8.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\msxml71.dll 样本2 090724-1-9 2009-07-25 12:32:10 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-8.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\msxml71.dll 触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\.dll 2009-07-25 12:33:38 进程间消息操作操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 目标进程:C:\WINDOWS\System32\notepad.exe 消息类型:WM_CLOSE 触发规则:所有程序规则->系统工具->%windir%\system32\notepad.exe 2009-07-25 12:33:43 结束/挂起进程操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 目标进程:C:\WINDOWS\System32\notepad.exe 触发规则:所有程序规则->系统工具->%windir%\system32\notepad.exe 2009-07-25 12:33:49 运行应用程序操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\System32\cmd.exe 命令行:/c sc config ekrn start= disabled 触发规则:高优先规则->In Side->%windir%\system32\cmd.exe 2009-07-25 12:33:51 运行应用程序操作:允许进程路径:C:\WINDOWS\System32\cmd.exe 文件路径:C:\WINDOWS\System32\sc.exe 命令行:config ekrn start= disabled 触发规则:所有程序规则->系统工具->%windir%\system32\sc.exe 2009-07-25 12:33:56 运行应用程序操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\System32\cmd.exe 命令行:/c taskkill.exe /im ekrn.exe /f 触发规则:高优先规则->In Side->%windir%\system32\cmd.exe 2009-07-25 12:33:58 运行应用程序操作:允许进程路径:C:\WINDOWS\System32\cmd.exe 文件路径:C:\WINDOWS\System32\taskkill.exe 命令行:/im ekrn.exe /f 触发规则:所有程序规则->系统工具->%windir%\system32\taskkill.exe 2009-07-25 12:34:00 系统设备控制操作:允许进程路径:C:\WINDOWS\System32\taskkill.exe 系统设备名称:\Device\NamedPipe\lsass 触发规则:所有程序规则-> 2009-07-25 12:34:05 系统设备控制操作:允许进程路径:C:\WINDOWS\System32\taskkill.exe 系统设备名称:\Device\NamedPipe\lsass 触发规则:所有程序规则->* 2009-07-25 12:34:07 运行应用程序操作:允许进程路径:C:\WINDOWS\System32\cmd.exe 文件路径:C:\WINDOWS\System32\taskkill.exe 命令行:/im egui.exe /f 触发规则:所有程序规则->系统工具->%windir%\system32\taskkill.exe 2009-07-25 12:34:08 系统设备控制操作:允许进程路径:C:\WINDOWS\System32\taskkill.exe 系统设备名称:\Device\NamedPipe\lsass 触发规则:所有程序规则->* 2009-07-25 12:34:09 系统设备控制操作:允许进程路径:C:\WINDOWS\System32\taskkill.exe 系统设备名称:\Device\NamedPipe\lsass 触发规则:所有程序规则->* 2009-07-25 12:34:36 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\tete1781093t.dll 触发规则:所有程序规则->文件阻止及保护->?:\.dll 2009-07-25 12:34:43 运行应用程序操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\System32\RUNDLL32.EXE 命令行:C:\WINDOWS\tete1781093t.dll testall 触发规则:所有程序规则->威胁提示Ⅰ->%windir%\ 2009-07-25 12:34:46 创建文件操作:允许进程路径:C:\WINDOWS\System32\RUNDLL32.EXE 文件路径:C:\WINDOWS\system32\drivers\AsyncMac.sys 触发规则:所有程序规则->文件阻止及保护->?:\.sys 2009-07-25 12:34:48 加载驱动程序操作:允许进程路径:C:\WINDOWS\System32\SERVICES.EXE 驱动路径:C:\WINDOWS\system32\DRIVERS\asyncmac.sys 触发规则:所有程序规则->威胁提示Ⅲ->%windir%\ 2009-07-25 12:35:05 创建注册表值操作:允许进程路径:C:\WINDOWS\System32\RUNDLL32.EXE 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe 注册表名称:[Key] 触发规则:所有程序规则->系统设置->\SOFTWARE\Microsoft\Windows\CurrentVersion\Image File Execution Options* 2009-07-25 12:35:06 创建注册表值操作:允许进程路径:C:\WINDOWS\System32\RUNDLL32.EXE 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe 注册表名称:RsAgent.exe 触发规则:所有程序规则->系统设置->\SOFTWARE\Microsoft\Windows\CurrentVersion\Image File Execution Options* 2009-07-25 12:35:06 创建注册表值操作:允许进程路径:C:\WINDOWS\System32\RUNDLL32.EXE 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mfeann.exe 注册表名称:[Key] 触发规则:所有程序规则->系统设置->\SOFTWARE\Microsoft\Windows\CurrentVersion\Image File Execution Options* 2009-07-25 12:35:07 创建注册表值操作:允许进程路径:C:\WINDOWS\System32\RUNDLL32.EXE 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mfeann.exe 注册表名称:mfeann.exe 触发规则:所有程序规则->系统设置->\SOFTWARE\Microsoft\Windows\CurrentVersion\Image File Execution Options* 2009-07-25 12:35:35 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:36 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\* 2009-07-25 12:35:39 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:40 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:40 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:42 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:42 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:42 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:43 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:43 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:46 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:47 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:47 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:49 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:50 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:51 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:53 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:54 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\extext1860125t.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:54 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\AUTORUN.INF 触发规则:所有程序规则->文件阻止及保护->?:\autorun.inf 2009-07-25 12:35:54 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\* 2009-07-25 12:35:55 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:56 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:35:57 运行应用程序操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\extext1860125t.exe 触发规则:所有程序规则->威胁提示Ⅰ->%windir%\* 2009-07-25 12:35:58 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:35:59 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} 触发规则:所有程序规则->文件夹保护->?:\ 2009-07-25 12:36:02 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:36:03 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:36:05 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:36:09 创建文件操作:阻止进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe 触发规则:所有程序规则->文件阻止及保护->?:\.exe 2009-07-25 12:36:15 创建文件操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-1-9.exe 文件路径:C:\WINDOWS\system32\drivers\pcidump.sys 触发规则:所有程序规则->文件阻止及保护->?:\.sys 第二个样本动作这么多结果瑞星的木马行为防御很不应该啊。我开的可是高级用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	分享到：

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-07-25 12:49 \| 只看楼主短消息资料字号：小中大 2楼回复：过瑞星木马行为防御的样本分析样本三 090724-1-14无法运行样本四090724-2-5（带有数字签名）这个样本动作不是很明显。不知是不是无法加规则或者数字签名骗过了瑞星 2009-07-25 12:45:23 应用程序保护(结束/挂起进程) 操作:允许(自动创建规则) 进程路径:C:\WINDOWS\System32\SERVICES.EXE 目标进程:C:\WINDOWS\System32\SVCHOST.EXE 2009-07-25 12:45:22 注册表保护(创建注册表值) 操作:允许进程路径:C:\WINDOWS\System32\SERVICES.EXE 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MedigCenter 注册表名称:ImagePath 2009-07-25 12:45:20 应用程序保护(安装服务或者驱动) 操作:允许进程路径:C:\WINDOWS\System32\SERVICES.EXE 文件路径:C:\WINDOWS\System32\svchost.exe -k krnlsrvc 2009-07-25 12:45:12 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-5.exe 文件路径:C:\WINDOWS\system32\RfmutnC.dll 样本五 090724-2-8.exe 动作不明显 2009-07-25 12:47:52 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-8.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 12:47:50 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-8.exe 文件路径:C:\WINDOWS\System32\CTFMON.EXE 2009-07-25 12:47:43 注册表保护(创建注册表值) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-8.exe 注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 注册表名称:Monopod 2009-07-25 12:47:37 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-8.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-8.exe 样本六090724-2-9.exe动作不明显 2009-07-25 12:50:09 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-9.exe 系统设备名称:\Device\MountPointManager 2009-07-25 12:50:02 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-9.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 12:50:01 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-9.exe 文件路径:C:\WINDOWS\System32\CTFMON.EXE 样本七090724-2-9.exe（有数字签名） 2009-07-25 12:52:19 文件保护(创建文件) 操作:允许进程路径:C:\WINDOWS\System32\cmd.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\3596799a1543bc9f.aqq 2009-07-25 12:52:17 文件保护(创建文件) 操作:允许进程路径:C:\WINDOWS\System32\cmd.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\3596799a1543bc9f.aqq 2009-07-25 12:52:13 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\afc9fe2f418b00a0.bat 2009-07-25 12:52:10 应用程序保护(运行应用程序) 操作:允许进程路径:C:\WINDOWS\System32\micsoft.exe 文件路径:C:\WINDOWS\System32\RUNDLL32.EXE 命令行: fly122.dll , InstallMyDll 2009-07-25 12:52:08 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 文件路径:C:\WINDOWS\System32\micsoft.exe 2009-07-25 12:52:07 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 文件路径:C:\WINDOWS\System32\micsoft.exe 2009-07-25 12:52:04 注册表保护(修改注册表内容) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 注册表名称:Userinit 更改后:C:\WINDOWS\system32\userinit.exe,D:\FlySoft\micsoft.exe 更改前:C:\WINDOWS\system32\userinit.exe,D:\FlySoft\micsoft.exe 2009-07-25 12:52:02 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 文件路径:C:\WINDOWS\System32\dllcache\fly122.dll 2009-07-25 12:52:00 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-11.exe 文件路径:C:\WINDOWS\System32\fly122.dll 动作较为明显样本八090724-2-13（有数字签名） 2009-07-25 12:56:01 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-13.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:49317 2009-07-25 12:55:59 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-2-13.exe 文件路径:C:\windows\messenger\messenger.exe 动作不够明显，但是有数字签名样本九090724-A-2 HIPS未检测到任何动作样本十 090724-A-3 未检测到任何动作样本十一 090724-A-6 2009-07-25 12:58:27 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-6.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\x1c117505.dll 动作不明显样本十二090724-A-10 2009-07-25 13:01:44 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin6ver0723.exe 命令行:/S 2009-07-25 13:01:43 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\admin6ver0723.exe 2009-07-25 13:01:35 注册表保护(删除注册表) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表名称:jfproc 2009-07-25 13:01:33 注册表保护(删除注册表) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 注册表名称:swg 2009-07-25 13:01:26 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1027 2009-07-25 13:01:25 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1027 2009-07-25 13:01:24 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1027 2009-07-25 13:01:23 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1049 2009-07-25 13:01:19 注册表保护(创建注册表值) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} 注册表名称:[Key] 2009-07-25 13:01:18 注册表保护(创建注册表值) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} 注册表名称:[Key] 2009-07-25 13:01:17 注册表保护(创建注册表值) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A49F431-2A2E-41a5-9080-0F41D1A3AEC2} 注册表名称:[Key] 2009-07-25 13:01:15 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 文件路径:C:\Program Files 2009-07-25 13:01:14 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 文件路径:C:\Program Files\IESuper\iesuper.dll 2009-07-25 13:01:13 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 文件路径:C:\Program Files 2009-07-25 13:01:09 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 命令行:/S 2009-07-25 13:01:08 注册表保护(修改注册表内容) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 注册表名称:Start Page 更改后:http://iexx.com 更改前:http://iexx.com 2009-07-25 13:01:05 注册表保护(修改注册表内容) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN 注册表名称:Start Page 更改后:http://iexx.com 更改前:http://iexx.com 2009-07-25 13:01:04 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 文件路径:C:\WINDOWS\win.ini 2009-07-25 13:01:03 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_iesuper_0010109.exe 2009-07-25 13:01:01 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\51dd_free_setup 文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE 2009-07-25 13:00:58 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 文件路径:C:\WINDOWS\win.ini 2009-07-25 13:00:53 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\51dd_free_setup 文件路径:C:\WINDOWS\Debug\UserMode\userenv.log 2009-07-25 13:00:48 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1027艎 2009-07-25 13:00:38 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\WINDOWS\System32\cmd.exe 命令行:/c del C:\DOCUME~1\ADMINI~1\桌面\guo\guo\094F42~1.EXE > nul 2009-07-25 13:00:33 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:00:28 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1027艉 2009-07-25 13:00:25 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:00:22 注册表保护(删除注册表) 操作:允许进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE 注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar 注册表名称:SaveLinksOrder 2009-07-25 13:00:16 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1049艉 2009-07-25 13:00:14 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:00:12 应用程序保护(进程间消息操作) 操作:允许(自动创建规则) 进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1122 2009-07-25 13:00:11 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 文件路径:C:\Documents and Settings\Administrator\桌面\Internet Explorer.url 2009-07-25 13:00:07 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\51dd_free_setup 2009-07-25 13:00:05 文件保护(修改文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 文件路径:C:\WINDOWS\Debug\UserMode\userenv.log 2009-07-25 13:00:02 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE 命令行:http://iexx.com 2009-07-25 12:59:55 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 2009-07-25 12:59:54 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\beta.exe 2009-07-25 12:59:52 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 2009-07-25 12:59:50 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-10.exe 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\gefrag.exe 动作极其明显 ty88 最后编辑于 2009-07-25 13:02:41
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-07-25 13:08 \| 只看楼主短消息资料字号：小中大 3楼回复：过瑞星木马行为防御的样本分析样本十三 090724-A-11 未检测到任何动作样本十四090724-A-14 2009-07-25 13:04:22 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-13.exe 系统设备名称:\Device\MountPointManager 2009-07-25 13:04:14 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-13.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:04:12 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-13.exe 文件路径:C:\WINDOWS\System32\CTFMON.EXE 动作不明显样本十五090724-A-16.exe（有数字签名） 2009-07-25 13:07:42 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-16.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\afc9fe2f418b00a0.bat 2009-07-25 13:07:40 应用程序保护(运行应用程序) 操作:允许进程路径:C:\WINDOWS\System32\micsoft.exe 文件路径:C:\WINDOWS\System32\RUNDLL32.EXE 命令行: fly2351.dll , InstallMyDll 2009-07-25 13:07:39 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-16.exe 文件路径:C:\WINDOWS\System32\micsoft.exe 2009-07-25 13:07:38 注册表保护(修改注册表内容) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-16.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 注册表名称:Userinit 更改后:C:\WINDOWS\system32\userinit.exe,D:\FlySoft\micsoft.exe,D:\FlySoft\micsoft.exe 更改前:C:\WINDOWS\system32\userinit.exe,D:\FlySoft\micsoft.exe,D:\FlySoft\micsoft.exe 2009-07-25 13:07:37 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-16.exe 文件路径:C:\WINDOWS\System32\dllcache\fly2351.dll 2009-07-25 13:07:36 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-16.exe 文件路径:C:\WINDOWS\System32\fly2351.dll 动作明显样本十六 090724-A-22 无法运行样本十七090724-A-26.exe动作明显 2009-07-25 13:10:17 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-26.exe 文件路径:C:\WINDOWS\System32\mobsyn.exe 2009-07-25 13:10:15 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-26.exe 文件路径:C:\WINDOWS\system32\wiawow32.sys 2009-07-25 13:10:14 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-26.exe 文件路径:C:\WINDOWS\system32\mobsyn.exe 2009-07-25 13:10:13 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-26.exe 文件路径:C:\WINDOWS\system32\sopidkc.exe 2009-07-25 13:10:12 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-A-26.exe 文件路径:C:\WINDOWS\system32\comsa32.sys ty88 最后编辑于 2009-07-25 13:10:45
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-07-25 13:10 \| 短消息资料字号：小中大 4楼回复：过瑞星木马行为防御的样本分析样本2肯定能拦住这个样本都试过多少次了..... 你要是装10的机器同时装HIPS很有可能有些行为监控不到...
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-07-25 13:14 \| 只看楼主短消息资料字号：小中大 5楼回复: 过瑞星木马行为防御的样本分析引用: 原帖由 newcenturymoon 于 2009-7-25 13:10:00 发表样本2肯定能拦住这个样本都试过多少次了..... 你要是装10的机器同时装HIPS很有可能有些行为监控不到... 测试的时候是用上网本测得根本没有HIPS 现在是我又换了台机器测试的
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-07-25 13:15 \| 只看楼主短消息资料字号：小中大 6楼回复：过瑞星木马行为防御的样本分析样本十八090724-B-1.exe 2009-07-25 13:12:41 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\FWJIN.tmp 2009-07-25 13:12:40 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\FWJIN.tmp 2009-07-25 13:12:36 应用程序保护(结束/挂起进程) 操作:允许进程路径:C:\WINDOWS\System32\CSRSS.EXE 目标进程:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 2009-07-25 13:12:35 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\QHTTK83M.pif 2009-07-25 13:12:28 应用程序保护(结束/挂起进程) 操作:允许进程路径:C:\WINDOWS\System32\CSRSS.EXE 目标进程:C:\Documents and Settings\Administrator\桌面\guo\guo\8N1VN117.exe 2009-07-25 13:12:27 应用程序保护(进程间消息操作) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 目标进程:C:\WINDOWS\EXPLORER.EXE 消息类型:1049tm 2009-07-25 13:12:25 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\WJLIQT85.exe 2009-07-25 13:12:22 应用程序保护(结束/挂起进程) 操作:允许进程路径:C:\WINDOWS\System32\CSRSS.EXE 目标进程:C:\Documents and Settings\Administrator\桌面\guo\guo\AHKA5T4Z8.exe 2009-07-25 13:12:16 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\8N1VN117.exe 2009-07-25 13:12:16 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 文件路径:C:\Program Files\R05GCWVW1DO\0ZC4HPZK.EXE 2009-07-25 13:12:13 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\AHKA5T4Z8.exe 2009-07-25 13:12:13 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\9E44M.tmp 2009-07-25 13:12:12 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\9E44M.tmp 2009-07-25 13:12:11 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\9E44M.tmp 2009-07-25 13:12:10 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\9E44M.tmp 2009-07-25 13:12:09 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\9E44M.tmp 2009-07-25 13:12:05 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:12:03 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 2009-07-25 13:11:58 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\5MV4Z.exe 2009-07-25 13:11:56 应用程序保护(结束/挂起线程) 操作:允许进程路径:C:\WINDOWS\System32\dwwin.exe 目标进程:C:\Documents and Settings\Administrator\桌面\guo\guo\R9RO7W15XBC.exe 2009-07-25 13:11:51 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\R9RO7W15XBC.exe 文件路径:C:\WINDOWS\System32\dwwin.exe 命令行:-x -s 156 2009-07-25 13:11:47 应用程序保护(系统设备控制) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\R9RO7W15XBC.exe 系统设备名称:\Device\NamedPipe\lsass 2009-07-25 13:11:45 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\R9RO7W15XBC.exe 2009-07-25 13:11:42 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\R9RO7W15XBC.exe 2009-07-25 13:11:40 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:40 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:39 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:38 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:38 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:37 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\U0KJKUJUAE9N.tmp 2009-07-25 13:11:32 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:30 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:29 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:28 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:27 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:25 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp.tmp 2009-07-25 13:11:24 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 2009-07-25 13:11:23 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp.tmp 2009-07-25 13:11:22 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 2009-07-25 13:11:21 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp.tmp 2009-07-25 13:11:19 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 2009-07-25 13:11:18 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp.tmp 2009-07-25 13:11:16 应用程序保护(运行应用程序) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 2009-07-25 13:11:15 文件保护(创建文件) 操作:允许进程路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe 文件路径:C:\Documents and Settings\Administrator\桌面\guo\guo\090724-B-1.exe.tmp 动作尤其明显
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

瑞星工程师14 在线技术支持工程师帖子:5134 注册: 2008-09-08 来自:	发表于： 2009-07-26 15:03 \| 短消息资料字号：小中大 7楼回复：过瑞星木马行为防御的样本分析您的问题已收集，欢迎继续测试
瑞星工程师14 在线技术支持工程师帖子:5134 注册: 2008-09-08 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT