发表于: 2010-05-06 16:40 | 显示全部 短消息 资料
字号: 1楼

关于那个假冒的“BT下载”

样本来源:http://bbs.janmeng.com/thread-929047-1-1.html

一、观测环境:

WINDOWS 7 旗舰版

CAHIPS (开启“追踪回滚)

TIME FREEZE(开启系统及非系统分区保护)

RIS2010( 完全关闭)


二、观测结果:





关键的一个病毒驱动项:



CAHIPS 检测到的注册表改动: 


CAHIPS 检测到的文件释放:





中此毒后的手工处理关键是删除病毒驱动以及病毒库文件的删除(附上病毒驱动和病毒库文件,无密码)






用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.24 Version/10.53

附件附件:

文件名:Desktop.rar
下载次数:253
文件类型:application/rar
文件大小:
上传时间:2010-5-6 16:43:07
描述:rar

最后编辑baohe 最后编辑于 2010-05-06 16:44:59