1   1  /  1  页   跳转

木马行为防御未拦截

木马行为防御未拦截

文件名:3.exe
摘要:
1自动运行
2安装BHO(浏览器辅助对象)
3在系统目录创建文件
4修改,删除文件
5修改注册表

线程1:
创建注册表键值
HKLM\​SOFTWARE\​Microsoft\​IDSCNP
修改注册表键值
HKLM\​SOFTWARE\​Microsoft\​IDSCNP
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\​CurrentVersion\​Explorer\​MountPoints2\​{a1094da8-30a0-11dd-817b-806d6172696f}\
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\​CurrentVersion\​Explorer\​MountPoints2\​{a1094daa-30a0-11dd-817b-806d6172696f}\
创建文件
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\165.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsi3.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsi3.tmp\System.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsm2.tmp

线程2:
创建注册表键值
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}\​InprocServer32
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}\​TypeLib
HKLM\​SOFTWARE\​Microsoft\​Windows\​CurrentVersion\​Explorer\​Browser Helper Objects
HKLM\​SOFTWARE\​Microsoft\​Windows\​CurrentVersion\​Explorer\​Browser Helper Objects\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}\​1.0
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}\​1.0\​FLAGS
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}\​1.0\​0
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}\​1.0\​0\​win32
HKLM\​Software\​Classes\​TypeLib\​{385AB8C5-FB22-4D17-8834-064E2BA0A6F0}\​1.0\​HELPDIR
HKLM\​Software\​Classes\​Interface\​{385AB8C4-FB22-4D17-8834-064E2BA0A6F0}
HKLM\​Software\​Classes\​Interface\​{385AB8C4-FB22-4D17-8834-064E2BA0A6F0}\​ProxyStubClsid
HKLM\​Software\​Classes\​Interface\​{385AB8C4-FB22-4D17-8834-064E2BA0A6F0}\​ProxyStubClsid32
HKLM\​Software\​Classes\​Interface\​{385AB8C4-FB22-4D17-8834-064E2BA0A6F0}\​TypeLib
创建文件
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsm4.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsm5.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz6.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz6.tmp\System.dll
C:\WINDOWS\AMD
C:\WINDOWS\AMD\google.dll
删除文件
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsm4.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz6.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz6.tmp\
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz6.tmp\System.dll

线程3:
创建注册表键值
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}\​InprocServer32
HKLM\​Software\​Classes\​CLSID\​{296AB1C6-FB22-4D17-8834-064E2BA0A6F0}\​TypeLib
创建文件
C:\WINDOWS\AMD\google.dll
C:\WINDOWS\Registration\R000000000007.clb
C:\WINDOWS\system.ini
PIPE\lsarpc
创建互斥体
CTF.Asm.MutexDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500
CTF.Compart.MutexDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500
CTF.LBES.MutexDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500
CTF.Layouts.MutexDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500
CTF.TMD.MutexDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500
CTF.TimListCache.FMPDefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500MUTEX.DefaultS-​1-​5-​21-​842925246-​1425521274-​308236825-​500

默认设置下的瑞星未拦截。高级别的系统加固和高级别的木马行为防御,只有报修改system,ini。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)

附件附件:

文件名:3.rar
下载次数:307
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-8 22:09:29
描述:rar

最后编辑DoctorLc 最后编辑于 2009-08-09 09:18:19
分享到:
gototop
 

回复:木马行为防御未拦截

您提供的样本已收集,感谢您的支持。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT