欢迎来到天天文库
浏览记录
ID:23961057
大小:53.50 KB
页数:3页
时间:2018-11-12
《破还原tr-crypt.xpack.gen》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、破还原TR/Crypt.XPACK.Gen~教育资源库 病毒名称:AntiVir:TR/Crypt.XPACK.Gen Kaspersky:- NOD32v2:- Rising:- VT查杀率:22/35(62.86%) EQSLab编号:080731005 病毒大小:29.9KB(30,704字节) MD5码:59BF52662E5FE2ADEE7F0E9E6A37CB5E 病毒类型:下载者、穿透还原 主要传播方式:网络 测试平台: 引用: 2008-07-3118:58:47访问服务管理器 进程路径:F:Oncemmmm.exe 触发规则:所有程序规则->
2、;* 创建驱动文件并加载 引用: 2008-07-3118:58:56创建文件 进程路径:F:Oncemmmm.exe 文件路径:C:32DriversBeep.sys 触发规则:所有程序规则->FileRule->?:*.sys 2008-07-3118:59:16加载驱动程序 进程路径:C:32services.exe 驱动路径:C:32driversBeep.sys 触发规则:所有程序规则->BlockAPPRun->%mmm.exe 文件路径:C:00B863200B863A 触发规则:所有程序规则->FileRule->?:
3、* 安装驱动 引用: 2008-07-3118:59:33安装服务或者驱动 进程路径:C:32services.exe 文件路径:C:00B863200B863A 触发规则:应用程序规则->SystemSoft->%32services.exe 创建服务注册表 引用: 2008-07-3118:59:33创建注册表值 进程路径:C:32services.exe 注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesFUCKALLGUARD 注册表名称:ImagePath 触发规则:所有程序规则->服务_
4、普通模式->HKEY_LOCAL_MACHINESYSTEM*controlset*Services* 创建无后缀文件 引用: 2008-07-3118:59:37创建文件 进程路径:F:Oncemmmm.exe 文件路径:C:00B863200C740C 触发规则:所有程序规则->FileRule->?:* 调用 引用: 2008-07-3118:59:49运行应用程序 进程路径:F:Oncemmmm.exe 文件路径:C:00B863200C740C 触发规则:所有程序规则->* 创建自删除bat 引用: 2008-07-3118:59
5、:49创建文件 进程路径:F:Oncemmmm.exe 文件路径:C:del_exe.bat 触发规则:所有程序规则->FileRule->?:*.bat 联网行为: 昨天晚上停电不能拦截到外联IP 关键行为: 修改系统文件 读底层磁盘 加载驱动 联网下载 HIPS防范对策: 阻止修改系统文件 阻止陌生程序底层磁盘操作 阻止陌生程序访问服务管理器控制services.exe加载驱动12下一页友情提醒:,特别!阻止陌生程序加载驱动 阻止陌生程序联网 ===================== 病毒内部很和谐的FUCK_ALL_GUARD上一页12友情
6、提醒:,特别!
此文档下载收益归作者所有