微点双击测试。。。。直播中。。。。（十一）。。。。。。。。。。。。。

wqcaokeyinwq

火绒测试。。。。。。。。。。。。。http://bbs.kafan.cn/thread-1504043-1-1.html



时间。。。2013.3.18号。。。。。。。。。。。




环境。。。。。XP。。。32位.。。。冰点还原。。。



软件。。。。。。。。。微点主防。。。。。。。。病毒库。。。。。3.12。。。



病毒库截图。。。。。。。。







样本如图。。。。。样本来源。。卡饭日包随机选取。。。感谢毒组的辛苦劳作。。。。。。。







双击时间。。。。。。。。。。8点。。。。。。。


欢迎围观。。。。。。。。。。。。。。。。。。

minimini

跟帖关注

wqcaokeyinwq

minimini 发表于 2013-3-18 19:15
跟帖关注

欢迎围观。。。。

直播楼层。。。。



双击1.exe。。。。。



双击。。。主防秒。。。





个人点评。。双击后。。。通过查看微点日志。。。发现母体尝试两次发作。。。但动作过于剧烈。。从而被微点捕获。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击2.exe。。。



双击。。防火墙拦截。。。。母体主防没有报警。。







个人点评。。。双击后。。。防火墙报警。。多次拒绝后。。防火墙仍然不停的报警。。手动结束该样本。。。

再次双击。。。。防火墙报警后直接放行。。。发现后台下载数据到大约70K后。。。弹出安装界面。。。目测可能是个安装包。。。手动结束。。。可能是个白样本。。。




。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击3.exe。。。。



双击。。防火墙拦截。。。。。拒绝后。。弹出一个工具。。。手动结束。。。





再次双击。。。防火墙拦截。。放行后。。。弹出如图所示的界面。。。






个人点评。。。双击后。。防火墙拦截。。。。拒绝后弹出一个工具。。简单点击其中一个按钮。。发现在桌面生成了一个游戏类的图标。。。。。手动结束。。。之后防火墙拦截后。。选择放行。。。弹出一个游戏界面。。点击PLAY可以移动那个小方块。。。有点类似手机上的移动方块解锁屏幕的游戏。。。点击关闭后正常退出。。。

可能是个小游戏。。。白样本。。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。




双击4.exe。。。。



双击。。防火墙拦截。。。。拒绝后。。弹出加密工具。。。放行后。。弹出加密工具。。





个人点评。。。。双击后。。。防火墙拦截。。无论放行与否。。。。都没有后台数据流量。。。目测界面是个加密工具。。。简单试用工具发现。。无法启动该工具。也就是无法执行加密或者解密操作。。。估计是部分文件。。缺少关联程序。。。。

目测。。。。工具。。。白样本。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击5.exe。。。。。



双击。。。微点保持沉默。。。



个人点评。。。双击后。。微点保持了沉默。。通过微点日志发现。。。该样本动作非常之多。。。释放多个衍生物。。还调用CMD。。系统工具TASKKILL。。等等。。。但这些衍生物和母体都自动退出了。。。。。

这个样本在我的系统上。微点没有报警。。不单表他是无毒的。。。




上报微点。。。。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击6.exe。。。。


双击后。。防火墙拦截。。。拒绝后。。弹出错误。。母体没有自动退出。。手动结束。。。





再次双击。。放行后。。。母体驻留内存中。。。等2分后。。手动结束。。。


个人点评。。。样本运行后。。防火墙拦截。。。无论放行与否。。都没有后台数据流量。。。。母体没有自己退出而是驻留内存中。。。等几分钟后。。仍然没有任何动作。。。手动结束。。。。



。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。




双击7.exe。。。。



双击。。。微点秒。。




个人点评。。。该样本应该是一个捆绑类的程序。。。他伪装成IE浏览器图标的样子。。。双击后。。释放衍生物。。。衍生物微点已经入库。。直接秒杀。。。。干净利索。。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击8.exe。。。



双击。。被锁。。。。看界面就知道这个是熟悉的样本。。。







个人点评。。。这个样本应该是我前天双击的一个样本。。。双击后熟悉的锁屏。。熟悉的颜色。。熟悉的字体。。当然还有微点这熟悉的沉默。。。 。。。这个已经上报了。。。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击9.exe。。。。


这个样本微点入库。。。解压秒。。





个人点评。。。样本微点已经入库。。。可见微点收集样本的能力也还是有的嘛。。。





。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击10.exe。。。



双击。。。微点秒。。。。







个人点评。。。这个样本伪装成我的电脑的图标样式。。。应该是捆绑类。。。双击后。。在不同位置释放衍生物。。微点已经入库衍生物。。。。衍生物试图调用CMD。。。还没来得及发作。。就被秒杀





。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



金山卫士系统修复检测。。。。。





个人点评。。。。3处异常。。

1是HOST异常。。。


第2个是10号样本残留。。应该已经没有发作的可能了。。



第3个是一个金山卫士可以识别的木马。。。找到之后。。发现就是那个锁屏的样本。。。。


测试完毕。。。欢迎围观。。。。。。。。。。。

damao1989

win8 wd强势插入

真小读者

来晚了

Style_Xue

微点一直是最爱，虽然最近也装上火绒。

超现实主义

楼主的病毒库不给力啊！

wqcaokeyinwq

超现实主义 发表于 2013-3-18 20:31
楼主的病毒库不给力啊！

呵呵。。。越旧。。才能明白微点的实力。。。。

yaoogle007

发挥不错了

wqcaokeyinwq

yaoogle007 发表于 2013-3-18 21:04
发挥不错了

神马意思。。