伪装快播超牛B 的样本！请勿双击！！

显示全部楼层 · 发表于 2013-8-17 08:26:53

虚拟机环境测试！双击后系统文件被替换360卫士和360杀毒都无法清除干净！然后蓝屏最终虚拟机系统崩溃
下载地址http://pan.baidu.com/share/link?shareid=3333983730&uk=4061374689

显示全部楼层 · 发表于 2013-8-17 08:30:37

过猎豹，vse杀，月神高

显示全部楼层 · 发表于 2013-8-17 08:38:25

原来就是sacour.cn上面的毒
那个快播的那个文件是可以解压的，解压得到两个文件，两个文件都是病毒。

显示全部楼层 · 发表于 2013-8-17 08:48:31

360可以拦截啊
看图
第一个
拦截衍生物

第二个主防和nd拦截

显示全部楼层 · 发表于 2013-8-17 08:51:59

本帖最后由 18qaz 于 2013-8-17 08:57 编辑

https://www.virustotal.com/en/fi ... nalysis/1376700655/

http://fireeye.ijinshan.com/anal ... a66&type=1#full

显示全部楼层 · 发表于 2013-8-17 09:01:21

C:\USERS\R.O.C522000\DESKTOP\SAMPLE_DOWNLOAD\SAMPLE_DOWNLOAD\QVODSETUP3.EXE
协议类型:TCP
本地地址:0.0.0.0
本地端口:49372
远端地址:115.238.237.173(浙江)
远端端口:1201

显示全部楼层 · 发表于 2013-8-17 09:01:40

金山也可以拦截
第一个

第二个

有点不足就是发送邮件金山这个拦截不了（不过按主防默认选项病毒就已经被结束了，我这里只是测试拦截点）

显示全部楼层 · 发表于 2013-8-17 09:02:58

程序联网，放行，然后主防报程序：
C:\PROGRAM FILES\ME APPLICATION\QVODSETUP3.5.EXE
木马程序生成以下文件：
1) C:\USERS\R.O.C522000\APPDATA\LOCAL\TEMP\GUVUGS.EXE
2) C:\USERS\R.O.C522000\APPDATA\LOCAL\TEMP\FUFTJIFEFQB.EXE
3) C:\PROGRAM FILES\QQNEWS\QQNEWS.EXE
4) C:\USERS\R.O.C522000\APPDATA\LOCAL\TEMP\ZJSLOEZV0B4C.DAT
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2013-8-17 09:03:16

程序：
C:\USERS\R.O.C522000\DESKTOP\SAMPLE_DOWNLOAD\SAMPLE_DOWNLOAD\USERID2.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2013-8-17 09:05:05

木马名称：未知木马

程序：
C:\PROGRAM FILES\ME APPLICATION\QVODSETUP3.5.EXE.!QD
是木马程序!

请选择处理方式!

[病毒样本] 伪装快播超牛B 的样本！请勿双击！！

本帖子中包含更多资源

本帖子中包含更多资源

评分

[病毒样本] 伪装快播 超牛B 的样本！请勿双击！！

本帖子中包含更多资源

本帖子中包含更多资源

评分

[病毒样本] 伪装快播超牛B 的样本！请勿双击！！