456远控

显示全部楼层 · 发表于 2013-4-23 10:46:42

为了不看杀软只去杀压缩包，这里就不提供压缩包了，是提出安装完毕的文件
样本连接http://yunpan.cn/QWFmGGq2EpIcF

下载之后解压，直接运行lobby.exe

我这里测试的是毒霸
防黑墙弹出拦截

还行，可是利用修改配置单元来添加启动服务毒霸未拦截
从查杀可以看出来

显示全部楼层 · 发表于 2013-4-23 10:56:49

没有密码不能解压啊

显示全部楼层 · 发表于 2013-4-23 10:59:56

曹亮亮发表于 2013-4-23 10:56
没有密码不能解压啊

汗，我就没设置密码

显示全部楼层 · 发表于 2013-4-23 11:02:04

恶意软件(Malware.QVM27.Gen)

456游戏\dunzip32.dll

显示全部楼层 · 发表于 2013-4-23 11:25:36

本帖最后由 870097067 于 2013-4-23 11:27 编辑

下載完報可疑了，不測雙擊沒時間

显示全部楼层 · 发表于 2013-4-23 11:28:17

本帖最后由 sanhu35 于 2013-4-23 11:30 编辑

放入高限制组

2013/4/23 11:26:54 创建文件允许
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: C:\Windows\system\RasMon.dat
规则: [应用程序组]【授权】高限制组 -> [文件]*

2013/4/23 11:26:56 修改文件允许
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: C:\Windows\system\RasMon.dat
规则: [应用程序组]【授权】高限制组 -> [文件]*

2013/4/23 11:26:56 创建注册表项阻止
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLRwrryb
规则: [注册表组]驱动服务 -> [注册表]*\System\*Controlset*\Services

2013/4/23 11:27:03 修改注册表值阻止
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\imgsvc
值: StiSvc .Net CLRwrryb
规则: [注册表组]恶意篡改 -> [注册表]*\Software\Microsoft\Windows NT\CurrentVersion\SvcHost*

2013/4/23 11:26:58 创建文件允许
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: C:\Windows\system32\logsysex.sep
规则: [应用程序组]【授权】高限制组 -> [文件]*

2013/4/23 11:27:03 创建文件允许
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: C:\Windows\system32\stexea.sxso
规则: [应用程序组]【授权】高限制组 -> [文件]*

2013/4/23 11:27:03 安装驱动程序或服务阻止
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: %SystemRoot%\System32\svchost.exe -k imgsvc
规则: [应用程序组]【授权】高限制组

2013/4/23 11:27:03 创建文件阻止
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: C:\Net-Temp.ini
规则: [应用程序组]【授权】高限制组 -> [文件组]保护系统文件

2013/4/23 11:27:04 向其他进程发送消息阻止
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: c:\windows\explorer.exe
消息: 0x0403
规则: [应用程序]*

2013/4/23 11:27:12 访问网络允许
进程: c:\users\sanhu35\desktop\456游戏\lobby.exe
目标: TCP [本机 : 51250] -> [115.238.184.30 : 8080]
规则: [网络组]出站连接 -> [网络]任意协议 [本机 : 任意端口] -> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2013-4-23 11:36:15

不知道算不算拦截成功

显示全部楼层 · 发表于 2013-4-23 12:01:16

3801187 发表于 2013-4-23 11:36
不知道算不算拦截成功

我感觉是翻译的问题吧。。已经拒绝。。然后显示“您的计算机不是无病毒的”

还是解压缩完没有杀掉压缩包？

显示全部楼层 · 发表于 2013-4-23 12:15:46

blacksaussage 发表于 2013-4-23 12:01
我感觉是翻译的问题吧。。已经拒绝。。然后显示“您的计算机不是无病毒的”
还是解压缩完没有杀掉 ...

我又笑了，我是双击主防报的好不好，也没有添加木马服务，也没有启动项。

显示全部楼层 · 发表于 2013-4-23 12:34:17

2013-04-23 12:32:29 C:\Documents and Settings\All Users\Application Data\Shared Space\456游戏\lobby.exe Sandboxed As Partially Limited

2013-04-23 12:32:36 C:\Documents and Settings\All Users\Application Data\Shared Space\456游戏\lobby.exe Modify File C:\WINDOWS\system32\logsysex.sep

2013-04-23 12:32:36 C:\Documents and Settings\All Users\Application Data\Shared Space\456游戏\lobby.exe Modify Key HKLM\SYSTEM\ControlSet001\Services\.Net CLRgtwed

[病毒样本] 456远控

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源