如上,样本来自29日瑞星挂马分析
到虚拟机里打开一实验 让我诧异的是
这个文件 修改了个windows文件目录的访问权限后
就在一直不停的修改注册表 自动运行
就不在做别的动作了
谁能帮忙看看是怎么回事
付:木马行为 部分记录
2009-6-29 20:46:28 创建新进程 允许
进程: c:\windows\explorer.exe
目标: d:\svchost.exe
命令行: "D:\svchost.exe"
规则: [应用程序]*
2009-6-29 20:46:34 创建新进程 允许
进程: d:\svchost.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c cacls C:\WINDOWS /e /p everyone:f
规则: [应用程序]*
2009-6-29 20:46:53 修改注册表值 允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:46:57 修改注册表值 允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:47:05 修改注册表值 允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
值:
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
2009-6-29 20:47:10 修改注册表值 允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
然后就在反复的不停的重复 这一个修改动作
以至于我把这个修改动作设置为信任后 就没反应了
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
