更新时间:2022-09-27 13:30:32
文章同时发表在: [url]http://netsecurity.51cto.com/art/200707/52055.htm[/url]
样本名称
|
样本日期
|
大小(Bytes)
|
样本编号
|
样本来源
|
Sample1.bak
|
2006-1-25
|
72052
|
060125A2
|
Customer
|
VirusSample.dat
|
2006-1-25
|
21084
|
060125A3
|
Support
|
VirusSample2.dat
|
2006-1-25
|
14205
|
060125A4
|
Support
|
***sample.bak
|
2006-1-25
|
104272
|
060125A5
|
Customer
|
项目
|
属性
|
详细描述
|
备注
|
自删除
|
是
|
|
|
启动方式
|
Run Key
|
\LMHK\Software\Windows\CurrentVers-ion\Run\***Run ***.exe
|
|
释放文件
|
否
|
%SystemRoot%\***.exe
|
复制到%SystemRoot%
|
进程注入
|
是
|
注入到iexplore.exe
|
|
网络连接
|
TCP
|
连接到212.24.55.188:80
|
Nobody.noip.cn (DNS)
|
其他属性
|
|
网络连接、文件不隐藏
网络连接不加密
|
项目
|
属性
|
详细描述
|
备注
|
自删除
|
是
|
|
|
进程注入
|
是
|
注入到C:\program files\Internet Explorer\iexplore.exe
|
Iexplore.exe为隐藏进程,使用Gmer检查。
|
安装路径
|
|
路径:C:\program files\common files\microsoft shared\MSInfo\
svchost.exe
Paramstr.txt
|
|
注册表
|
|
\\LMHK\SYSTEM\CurrentControlSet\Services\
新增svchost
|
|
启动方式
|
服务启动
|
系统增加以svchost命名的服务
|
|
网络连接
|
TCP
|
186.119.232.72.reverse.layeredtech.com
72.232.119.186
[url]www.ifrstats.com[/url] (DNS)
|
网络连接内容未知。
|