关于xk报毒的事情

简单丨

进行火眼测试   报告如下  
基本信息

• 文件名称：
  Beta.rar
• MD5：
  02edbb6aa89f9531fb7e26749a1cc52b
• Sha-1：
  1422947b2a6042318b61441eaca19fabd5193802
• 文件大小：
  546KB
• 创建时间：
  2013-08-21 10:10:27
• 文件类型：
  RAR
• PEID信息：
  Not a valid PE file
  

行为行动为搜索指定窗口;下载文件;IE 代理服务器设置;创建进程;创建互斥体;在其他进程中申请内存;inline hook 自身进程

• 行为描述：inline hook 自身进程
  附加信息：
  龙斗士Xk辅助 Ver4.0 Beta.exe
  USER32.dll!BeginPaint Ordinal: 14 HookType: InlineHook
  USER32.dll!EnableScrollBar Ordinal: 196 HookType: InlineHook
  USER32.dll!EndPaint Ordinal: 201 HookType: InlineHook
  USER32.dll!GetDC Ordinal: 269 HookType: InlineHook
  USER32.dll!GetScrollBarInfo Ordinal: 341 HookType: InlineHook
  USER32.dll!GetScrollInfo Ordinal: 342 HookType: InlineHook
  USER32.dll!GetScrollPos Ordinal: 343 HookType: InlineHook
  USER32.dll!GetScrollRange Ordinal: 344 HookType: InlineHook
  USER32.dll!GetWindowDC Ordinal: 365 HookType: InlineHook
  USER32.dll!GetWindowLongA Ordinal: 367 HookType: InlineHook
  USER32.dll!GetWindowLongW Ordinal: 368 HookType: InlineHook
  USER32.dll!ReleaseDC Ordinal: 555 HookType: InlineHook
  USER32.dll!SetScrollInfo Ordinal: 623 HookType: InlineHook
  USER32.dll!SetScrollPos Ordinal: 624 HookType: InlineHook
  USER32.dll!SetScrollRange Ordinal: 625 HookType: InlineHook
  USER32.dll!SetWindowLongA Ordinal: 641 HookType: InlineHook
  USER32.dll!SetWindowLongW Ordinal: 642 HookType: InlineHook
  USER32.dll!SetWindowRgn Ordinal: 645 HookType: InlineHook
  USER32.dll!WindowFromDC Ordinal: 725 HookType: InlineHook
  GDI32.dll!ExtTextOutA Ordinal: 222 HookType: InlineHook
  GDI32.dll!ExtTextOutW Ordinal: 223 HookType: InlineHook
  GDI32.dll!GdiTransparentBlt Ordinal: 327 HookType: InlineHook
  
  
  
• 行为描述：在其他进程中申请内存
  附加信息：
  %ProgramFiles%\Internet Explorer\IEXPLORE.EXE
  
  
  
• 行为描述：创建互斥体
  附加信息：
  "RPCSS_REGEVENT:{0002DF01-0000-0000-C000-000000000046}"
  "Shell.CMruPidlList"
  "_!SHMSFTHISTORY!_"
  "c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!"
  "shell._ie_sessioncount"
  
  
  
• 行为描述：创建进程
  附加信息：
  %ProgramFiles%\Internet Explorer\IEXPLORE.EXE
  
  
  
• 行为描述：IE 代理服务器设置
  附加信息：
  关闭IE代理服务
  
  
  
• 行为描述：下载文件
  附加信息：
  9ixk.com/ldgx.txt
  
  
  
• 行为描述：搜索指定窗口
  附加信息：
  ["" , "Microsoft Internet Explorer"]
  ["IEFrame" , ""]
  
  
  
  

进程操作监控

• 创建进程：%ProgramFiles%\Internet Explorer\iexplore.exe
  启动参数："%ProgramFiles%\Internet Explorer\iexplore.exe" -nohome
  
• 创建进程：http://9ixk.com
  启动参数：无
  
  

• 新增
• 删除
• 修改
  

注册表监控

• HKEY_CURRENT_USER\Software\Microsoft\Multimedia\DrawDib[vga.drv 1024x768x32(BGR 0)] = [31,31,31,31]
  
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2...
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2...[Time] = [xddx07x01x00x03...]
  [Count] = [0x00000001]
  [Type] = [0x00000004]
  
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F...
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F...[Time] = [xddx07x01x00x03...]
  [Count] = [0x00000001]
  [Type] = [0x00000004]
  
  

网络监控

• 网络操作[HTTP Request]GET 9ixk.com/
  [HTTP Request]GET 9ixk.com/ldgx.txt
  [HTTP Request]GET www.9lds.com/play.html
  [Open URL]9ixk.com
  [Open URL]http://9ixk.com/ldgx.txt
  [Open URL]www.9lds.com
  实际为xk并无病毒行为
  
  

简单丨

汗  审核了好久    反正xk没毒