【木馬】MSN 木馬 (Image063.zip)

[Roger]

2008-01-08 18:27:31 執行應用程序 操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Image063.JPG_www.freehosting.com
觸發規則:所有程序規則->系統程式_黑名單->*.com


2008-01-08 18:27:40 建立登錄檔值 操作:封鎖
程序路徑:D:\Image063.JPG_www.freehosting.com
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:Windows Live Service
登錄檔數值:msnlive.exe
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2008-01-08 18:27:42 建立檔案 操作:允許
程序路徑:D:\Image063.JPG_www.freehosting.com
檔案路徑:C:\WINDOWS\system32\msnlive.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2008-01-08 18:27:48 建立登錄檔值 操作:封鎖
程序路徑:D:\Image063.JPG_www.freehosting.com
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
登錄檔名稱:PendingFileRenameOperations
登錄檔數值:\??\D:\IMAGE0~1.COM
觸發規則:所有程序規則->系統設定_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2008-01-08 18:27:51 執行應用程序 操作:允許
程序路徑:D:\Image063.JPG_www.freehosting.com
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c del D:\IMAGE0~1.COM > nul
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-08 18:28:01 刪除檔案 操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:D:\Image063.JPG_www.freehosting.com
觸發規則:所有程序規則->全域設定_可執行檔案1->*.com

2008-01-08 18:27:44 執行應用程序 操作:允許
程序路徑:D:\Image063.JPG_www.freehosting.com
檔案路徑:C:\WINDOWS\system32\msnlive.exe
觸發規則:所有程序規則->*

2008-01-08 18:27:49 建立登錄檔值 操作:封鎖
程序路徑:C:\WINDOWS\system32\msnlive.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:Windows Live Service
登錄檔數值:msnlive.exe
觸發規則:所有程序規則->自動執行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-01-08 18:28:39 建立檔案 操作:允許
程序路徑:C:\WINDOWS\system32\msnlive.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\05.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe