avg idp 被完美穿破

显示全部楼层 · 发表于 2011-7-22 18:20:01

本帖最后由 a256886572008 于 2011-7-23 02:31 编辑

彈框點隔離

後面杯具了

---------------------
不玩bb了

損失真慘重

用回策略型sandbox了

-----------------------------------------------------------------------------------------
用 comodo 策略型sandbox 測試

2011-07-23 02:19:37 C:\WINDOWS\explorer.exe Create Process, Block File C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe

2011-07-23 02:19:39 C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe Sandboxed As Partially Limited

2011-07-23 02:19:50 C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe Access Memory C:\WINDOWS\explorer.exe

2011-07-23 02:19:50 C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe Modify File C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

2011-07-23 02:19:50 C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe Modify Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

2011-07-23 02:19:50 C:\Documents and Settings\Roger\桌面\virus\vdo\vdo.exe Modify File C:\WINDOWS\system32\03014D3F.exe

這隻可能是學習  卡飯出的那隻，將窗口一直至頂。

利用這動作，突破  某些殺軟的預設設置，彈框刪除病毒。

解決方式，就改成  自動刪除即可，等彈窗真危險:x}" />

------------------
看了 sandbox 日誌，原來 AVG IDP 不攔截  access memory，難怪會杯具。

显示全部楼层 · 发表于 2011-7-22 18:24:34

微点杀了启发式

显示全部楼层 · 发表于 2011-7-22 18:25:32

IDP很容易被穿，来360HIPS

时间操作说明次数
18:21:43 已阻止修改系统用户环境配置项 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[Userinit]
注册表内容：C:\ProgramData\22CC6C32.exe
进程：D:\下载\vdo\vdo.exe
18:21:13 自动阻止修改系统界面核心 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[Shell]
注册表内容：C:\ProgramData\22CC6C32.exe
进程：D:\下载\vdo\vdo.exe
18:21:13 已阻止修改系统界面核心 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[Shell]
注册表内容：C:\ProgramData\22CC6C32.exe
进程：D:\下载\vdo\vdo.exe

显示全部楼层 · 发表于 2011-7-22 18:25:34

360WD kill

显示全部楼层 · 发表于 2011-7-22 18:26:13

过AVG IDP了

显示全部楼层 · 发表于 2011-7-22 18:44:30

pass kis

显示全部楼层 · 发表于 2011-7-22 18:53:23

金山转人工鉴定

显示全部楼层 · 发表于 2011-7-22 18:54:24

• Description
Suspicious Actions Detected
Copies self to other locations
Creates autorun records
Creates files in windows system directory
Patches system files
http://camas.comodo.com/cgi-bin/ ... f170282b0a576b6f5d9

显示全部楼层 · 发表于 2011-7-22 18:57:04

ransom.. to avast

显示全部楼层 · 发表于 2011-7-22 19:00:30

本帖最后由 zmzcy 于 2011-7-22 19:01 编辑

comodo无压力

[病毒样本] avg idp 被完美穿破

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源