邮件里陌生人发来的可执行文件，感觉可疑。

显示全部楼层 · 发表于 2013-5-4 10:25:07

本帖最后由剑舞江南于 2013-5-4 16:40 编辑

邮件里陌生人发来的可执行文件，感觉可疑。但是360安全卫士、AVG和小红伞扫描时没有报告威胁，前天的时候上传过virscan.org在线扫描，居然没有一家报告威胁。也许这个文件做了免杀处理吧。我没有相应工具，请分析一下其行为。

附件：

显示全部楼层 · 发表于 2013-5-4 10:29:47

mcafee 报特洛伊木马

显示全部楼层 · 发表于 2013-5-4 10:34:25

LZ 小心了！这是一个病毒！
行为分析如下
自我复制
添加启动项

调用cmd
注入explorer系统进程（联网）
自我删除

显示全部楼层 · 发表于 2013-5-4 10:34:29

管它有毒没毒，在360隔离沙箱中运行不就行了

显示全部楼层 · 发表于 2013-5-4 10:37:53

倾枫锝渔♂ 发表于 2013-5-4 10:34
LZ 小心了！这是一个病毒！
行为分析如下
自我复制

按火绒给的提示操作就悲催了...【推荐允许】

显示全部楼层 · 发表于 2013-5-4 10:41:38

显示全部楼层 · 发表于 2013-5-4 10:41:52

ESS拦截下载

显示全部楼层 · 发表于 2013-5-4 10:42:59

本帖最后由倾枫锝渔♂ 于 2013-5-4 10:45 编辑

vm001 发表于 2013-5-4 10:37
按火绒给的提示操作就悲催了...【推荐允许】

没有的~就算点允许也没什么~

因为未知病毒拦截已经很早的拦截下来了~

未知病毒拦截我点忽略而已

再说下火绒是能拦截的！

我在试试火绒的系统加固和病毒的行为！

显示全部楼层 · 发表于 2013-5-4 10:47:06

好恐怖啊~~
http://fireeye.ijinshan.com/anal ... 8fd&type=1#full

火眼点评
检测注入的进程是否为指定进程;确认账户大盗木马，该木马源于国外，其专门盗取存取于本地的各种账户信息，包括ftp账户、远程桌面账户及存储于浏览器中的各种账户信息。其尝试从如下确认的客户端软件配置中提取账号密码。;启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程;修改函数入口点属性为可写;运行后删除自身，警惕恶意软件;远程注入其他进程;IE 代{过}{滤}理服务器设置;设置远程线程上下文;创建进程;遍历磁盘类型;创建互斥体;绑定监听端口;搜索指定窗口;查找文件;操作其他进程句柄...

显示全部楼层 · 发表于 2013-5-4 11:29:27

[可疑文件] 邮件里陌生人发来的可执行文件，感觉可疑。

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源