瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 一个简单的分析
CFBIQM - 2016-4-11 19:33:00
这次的分析全在图里感觉还是流程图简单明了
然后附上样本

 附件: 您所在的用户组无法下载或查看附件
嘿嘿嘿,为了给其他银看
附上MD日志
其实基本明眼人一看就知道
不过那个dll用处不详
————————————————————————————————————————————————————————————————————————
2016/4/11 12:06:28    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\administrator\desktop\百度云补丁.exe
命令行: "C:\Users\Administrator\Desktop\百度云补丁.exe"
规则: [应用程序]*


2016/4/11 12:07:51    创建新进程    允许
进程: c:\users\administrator\desktop\百度云补丁.exe
目标: c:\windows\hnetmone.d
命令行: C:\windows\\hnetmone.d
规则: [应用程序]*


2016/4/11 12:08:12    创建文件    允许
进程: c:\windows\hnetmone.d
目标: C:\Program Files\AppPatch\coll.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2016/4/11 12:08:26    访问网络    允许
进程: c:\windows\hnetmone.d
目标: TCP [本机 : 56027] ->  [120.25.247.207 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


2016/4/11 12:08:47    创建文件    允许
进程: c:\windows\hnetmone.d
目标: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KBNFPDVM\coll[1].dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2016/4/11 12:08:59    修改文件    允许
进程: c:\windows\hnetmone.d
目标: C:\Program Files\AppPatch\coll.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2016/4/11 12:09:32    删除文件    允许
进程: c:\windows\hnetmone.d
目标: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KBNFPDVM\coll[1].dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll


2016/4/11 12:09:46    创建文件    允许
进程: c:\windows\hnetmone.d
目标: C:\windows\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe


2016/4/11 12:10:31    修改文件 (2)    允许
进程: c:\windows\hnetmone.d
目标: C:\Windows\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe


2016/4/11 12:10:42    创建新进程    允许
进程: c:\windows\hnetmone.d
目标: c:\windows\svchost.exe
命令行: "C:\windows\svchost.exe"
规则: [应用程序]*


2016/4/11 12:10:54    创建注册表项    允许
进程: c:\windows\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SuperProServer
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


2016/4/11 12:11:27    修改注册表值    允许
进程: c:\windows\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SuperProServer
值: C:\windows\svchost.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*


2016/4/11 12:11:42    访问网络    允许
进程: c:\windows\svchost.exe
目标: TCP [本机 : 56061] ->  [120.25.247.207 : 9090]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


2016/4/11 12:11:57    访问网络    允许
进程: c:\windows\svchost.exe
目标: TCP [本机 : 56066] ->  [112.90.83.87 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


2016/4/11 12:12:42    访问网络    允许
进程: c:\windows\svchost.exe
目标: TCP [本机 : 56076] ->  [120.25.247.207 : 9090]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 TheWorld 6

附件: 百度云补丁.zip
1
查看完整版本: 一个简单的分析