破还原tr-crypt.xpack.gen

《破还原tr-crypt.xpack.gen》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、破还原TR/Crypt.XPACK.Gen～教育资源库　　病毒名称：AntiVir：TR/Crypt.XPACK.Gen　　Kaspersky：－　　NOD32v2：－　　Rising：-　　VT查杀率：22/35(62.86%)　　EQSLab编号：080731005　　病毒大小：29.9KB(30,704字节)　　MD5码：59BF52662E5FE2ADEE7F0E9E6A37CB5E　　病毒类型：下载者、穿透还原　　主要传播方式：网络　　测试平台：　　引用:　　2008-07-3118:58:47访问服务管理器　　进程路径:F:Oncemmmm.exe　　触发规则:所有程序规则->

2、;*　　创建驱动文件并加载　　引用:　　2008-07-3118:58:56创建文件　　进程路径:F:Oncemmmm.exe　　文件路径:C:32DriversBeep.sys　　触发规则:所有程序规则->FileRule->?:*.sys　　2008-07-3118:59:16加载驱动程序　　进程路径:C:32services.exe　　驱动路径:C:32driversBeep.sys　　触发规则:所有程序规则->BlockAPPRun->%mmm.exe　　文件路径:C:00B863200B863A　　触发规则:所有程序规则->FileRule->?:

3、*　　安装驱动　　引用:　　2008-07-3118:59:33安装服务或者驱动　　进程路径:C:32services.exe　　文件路径:C:00B863200B863A　　触发规则:应用程序规则->SystemSoft->%32services.exe　　创建服务注册表　　引用:　　2008-07-3118:59:33创建注册表值　　进程路径:C:32services.exe　　注册表路径:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesFUCKALLGUARD　　注册表名称:ImagePath　　触发规则:所有程序规则->服务_

4、普通模式->HKEY_LOCAL_MACHINESYSTEM*controlset*Services*　　创建无后缀文件　　引用:　　2008-07-3118:59:37创建文件　　进程路径:F:Oncemmmm.exe　　文件路径:C:00B863200C740C　　触发规则:所有程序规则->FileRule->?:*　　调用　　引用:　　2008-07-3118:59:49运行应用程序　　进程路径:F:Oncemmmm.exe　　文件路径:C:00B863200C740C　　触发规则:所有程序规则->*　　创建自删除bat　　引用:　　2008-07-3118:59

5、:49创建文件　　进程路径:F:Oncemmmm.exe　　文件路径:C:del_exe.bat　　触发规则:所有程序规则->FileRule->?:*.bat　　联网行为：　　昨天晚上停电不能拦截到外联IP　　关键行为：　　修改系统文件　　读底层磁盘　　加载驱动　　联网下载　　HIPS防范对策：　　阻止修改系统文件　　阻止陌生程序底层磁盘操作　　阻止陌生程序访问服务管理器控制services.exe加载驱动12下一页友情提醒：，特别！阻止陌生程序加载驱动　　阻止陌生程序联网　　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝　　病毒内部很和谐的FUCK_ALL_GUARD上一页12友情

6、提醒：，特别！