FAKE AV 1X【3家 only】

显示全部楼层 · 发表于 2011-6-23 17:06:48

本帖最后由帅就是帅于 2011-6-23 17:27 编辑

来源：http://bbs.kafan.cn/thread-1013138-1-1.html

解压密码：BBT

显示全部楼层 · 发表于 2011-6-23 17:11:44

to eset

http://samples.eset.com.cn/index ... 378ae6a5005aa3b216d

显示全部楼层 · 发表于 2011-6-23 17:16:58

本帖最后由无垠穹宇于 2011-6-23 17:18 编辑

又一个FakeAV

http://camas.comodo.com/cgi-bin/ ... 3da81305794f1f6a904
http://www.virustotal.com/file-s ... f1f6a904-1308819132

显示全部楼层 · 发表于 2011-6-23 17:20:55

本帖最后由 z2009 于 2011-6-23 17:21 编辑

金山卫士和kis 2012报安全
并建议楼主不要加密，因为上班公司电脑没装沙盘类的，既然有密码了，就必须解压，所以很危险，否则右键没用，谢谢配合

显示全部楼层 · 发表于 2011-6-23 17:26:35

本帖最后由 wjcharles 于 2011-6-23 17:36 编辑

从卡饭下载，sonar杀

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011/6/23 ( 17:28:16 )
上次使用时间:
2011/6/23 ( 17:28:16 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用

源文件:
winrar.exe
创建的文件:
pack.exe
____________________________
文件操作
文件: d:\downloads\chrome\test\pack\pack.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by d:\downloads\chrome\test\pack\pack.exe, PID:3900)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

原始地址下载，用IE9会触发ips，但还可以下载

2011/6/23 17:11,高,阻止了 46.161.29.13 的入侵企图,已阻止,不需要操作,Fake App Attack: Fake AV Website 20,不需要操作,不需要操作,"46.161.29.13, 80",46.161.29.13/images/1/1/792936d.png,"WJCH-PC (210.32.11.107, 60164)",46.161.29.13,"TCP, www-http",

诺顿下载智能分析报信誉：

完整路径: c:\users\wjch\appdata\local\microsoft\windows\temporary internet files\content.ie5\p39tvm8s\pack.exe
____________________________
____________________________
在电脑上的创建时间:
2011/6/23 ( 17:12:19 )
上次使用时间:
2011/6/23 ( 17:12:19 )
启动项:
否
已启动:
否
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全
____________________________
来源
下载自 http://46.161.29.13/
http://46.161.29.13/ 文件下载自: pack.exe
(WS.Reputation.1) 46.161.29.13

pack.exe
____________________________
文件操作
文件: c:\users\wjch\appdata\local\microsoft\windows\temporary internet files\content.ie5\p39tvm8s\pack.exe
已删除
____________________________
文件指纹 - SHA:
5b58e318aa3fa08841106771b09fadb6b348be36c0660043b346a27b7dc64422
____________________________
文件指纹 - MD5:
55847b728aac61994d01d0db6926ad81
____________________________

用chrome的话页面会直接被IPS阻断

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2011/6/23 17:14,高,阻止了 defender-klegc.gv.vg 的入侵企图,已阻止,不需要操作,Fake App Attack: Fake AV Website 18,不需要操作,不需要操作,"defender-klegc.gv.vg (78.41.203.16, 80)",defender-klegc.gv.vg/e19b21b55a730253/sa1/6,"WJCH-PC (210.32.11.107, 60268)",78.41.203.16 (78.41.203.16),"TCP, www-http",

显示全部楼层 · 发表于 2011-6-23 17:33:25

wjcharles 发表于 2011-6-23 17:26
用IE9会触发ips，但还可以下载

2011/6/23 17:11,高,阻止了 46.161.29.13 的入侵企图,已阻止,不需要操作, ...

微点右键扫描结果：

显示全部楼层 · 发表于 2011-6-23 17:33:25

请问火狐有木有什么安全插件可以防这种网页入侵和病毒呀？我听说火狐很安全，所以杀软的网页防护给去掉了，怕卡网

显示全部楼层 · 发表于 2011-6-23 17:34:54

z2009 发表于 2011-6-23 17:20
金山卫士和kis 2012报安全
并建议楼主不要加密，因为上班公司电脑没装沙盘类的，既然有密码了，就必须解压 ...

出于安全考虑和方便性才加密

显示全部楼层 · 发表于 2011-6-23 17:43:36

大蜘蛛clean，已上报！

显示全部楼层 · 发表于 2011-6-23 18:03:10

卡巴 PASS

[病毒样本] FAKE AV 1X【3家 only】

本帖子中包含更多资源

本帖子中包含更多资源