又一个冒牌360 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 安全技术讨论又一个冒牌360

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

又一个冒牌360

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2009-05-22 18:07 \| 只看楼主短消息资料字号：小中大 1楼又一个冒牌360 一个挂马网站上的，第一次virscan.org上扫描只有5家扫出来了。。。下面的分析如果有遗漏的，大家帮指出来哈~ 文件信息：文件名称：activex.exe 编写语言：VB 大小：44,560 byte MD5：83f5e5ed7d6e5987fbef7b348b771483 病毒名：Kaspersky：N/A Rising：Trojan.Spy.Win32.Bancos.fdk 下载地址：hxxp://yes9821.3322.org/web/activex.exe 行为：向system32目录下释放activex.exe：引用: 创建文件：进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe 文件路径:C:\WINDOWS\system32\activex.exe 删除自身：引用: 删除文件：进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe 文件路径:C:\Documents and Settings\Administrator\桌面\activex.exe 向%system32\wbem下创建文件：引用: 创建文件：进程路径:C:\WINDOWS\system32\activex.exe 文件路径:C:\WINDOWS\system32\wbem\fonts.exe 向鼠标指针文件夹Cursors释放文件：引用: 创建文件：进程路径:C:\WINDOWS\system32\activex.exe 文件路径:C:\WINDOWS\Cursors\beifen.exe 创建文件：进程路径:C:\WINDOWS\system32\activex.exe 文件路径:C:\WINDOWS\Cursors\qqwx.exe 向system32目录下释放文件：引用: 创建文件：进程路径:C:\WINDOWS\system32\activex.exe 文件路径:C:\WINDOWS\system32\lssas.exe 向注册表写入服务项：引用: 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:[Key] 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:Type=0x00000110 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:Start=0x00000002 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:ErrorControl=0x00000001 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:ImagePath=C:\WINDOWS\Cursors\qqwx.exe 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:DisplayName=Microsoft sp6 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:ObjectName=LocalSystem 创建注册表值：进程路径:C:\WINDOWS\system32\services.exe 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft 注册表名称:Description=系统登陆初始界面，终止该服务将导致系统不能正常登陆安装服务：引用: 安装服务或者驱动：进程路径:C:\WINDOWS\system32\services.exe 文件路径:C:\WINDOWS\Cursors\qqwx.exe 创建自启项：引用: 创建注册表值：进程路径:C:\WINDOWS\Cursors\qqwx.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表名称:StormCodec_Helper=C:\WINDOWS\system32\activex.exe SREng扫描异常项：附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; MAXTHON 2.0) backway 最后编辑于 2009-05-22 18:10:04
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	分享到：

Enao2005 版主帖子:2112 注册: 2004-12-02 来自:	发表于： 2009-05-22 19:00 \| 短消息资料字号：小中大 2楼回复：又一个冒牌360 C:\WINDOWS\system32\services.exe C:\WINDOWS\Cursors\qqwx.exe 是双进程守护不? PM偶时请附上求助贴的地址...
Enao2005 版主帖子:2112 注册: 2004-12-02 来自:

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-05-22 19:39 \| 短消息资料字号：小中大 3楼回复：又一个冒牌360 啥时候我也折腾下EQ..
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2009-05-22 20:09 \| 只看楼主短消息资料字号：小中大 4楼回复: 又一个冒牌360 EQ BUG：拦截图：附件: 您所在的用户组无法下载或查看附件日志记录： 2009-05-22 19:56:04 修改注册表内容操作:允许进程路径:C:\WINDOWS\Cursors\qqwx.exe 注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 注册表名称:Cache 更改后:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files 更改前:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files 触发规则:所有程序规则->资源管理器->\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders* 用EQ我就是用来试毒。。。
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:

最硬的石头版主帖子:4140 注册: 2008-07-24 来自:	发表于： 2009-05-22 20:16 \| 短消息资料字号：小中大 5楼回复 3F smallyou93 的帖子欢迎哈
最硬的石头版主帖子:4140 注册: 2008-07-24 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2009-05-26 10:50 \| 短消息资料字号：小中大 6楼回复：又一个冒牌360 样本何在？看那图标，难道是易语言写的…… 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-05-26 10:56 \| 短消息资料字号：小中大 7楼回复：又一个冒牌360 VB写的~
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:	发表于： 2009-05-26 22:29 \| 只看楼主短消息资料字号：小中大 8楼回复：又一个冒牌360 汗，是个挂马网站上的，没保存样本，没想到这么快下载链接就失效了那个样本图标是空的.......
backway 卡卡反病毒小组帖子:2473 注册: 2008-11-20 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT