process monitor监控setup.exe
设置进程过滤
查看进程数
setup.exe主要做了两件事:1、创建了一个spocslv.exe,2、删除c盘(测试环境只有c盘)和admin的共享
行为1:setup.exe创建了spoclsv.exe这样一个程序
行为2:删除了c盘和admin用户文件夹的默认共享
注册表监控
文件监控
监控spoclsv.exe
删除了哪些注册表值
创建、设置了哪些注册表值
行为4:在run键下创建了一个svcshare的自启动项,每次开机时病毒自动运行
行为5:在注册表下修改hidden\showall和hidden\showall\checkvalue两个键达到在文件管理器中即使查看隐藏文件夹也无法显现病毒
对文件的操作
行为6:将自身拷贝c盘根目录下命名为setup.exe,并且创建autorun.inf用于病毒的启动
行为7:在某些文件夹中创建Desktop_.ini这样的文件
对网络部分的操作
行为8:向内网外网”47.74.46.59”和”218.205.113.169”发送数据,并连接局域网中的其他电脑