吾爱的木马样本，全程过360和火绒，启动项位置牛逼

fireherman

ysj963 发表于 2017-1-19 11:13
这时候手动HIPS有神效，对了COM接口在注册表哪里保护？一般都是危险动作吧？

这里有教程啊：http://bbs.kafan.cn/thread-2053005-1-1.html

ysj963

fireherman 发表于 2017-1-19 11:22
这里有教程啊：http://bbs.kafan.cn/thread-2053005-1-1.html

esetHIPS我觉得还有个问题，假如我添加注册表项，添加多了自己忘记哪个添加过了，再添加不会提醒已重复。

275751198

fireherman 发表于 2017-1-19 09:51
看帖子主题，未入库前，国产的一样吃不消。

而且…… 我有ESET的3大神器编织的“贞操裤” ...

好污...............好污...............

趋势11:
扫描miss,双击,宙斯盾击杀taskhostex.exe[HEU_AEGISCS983]

dongwenqi

嘉新 发表于 2017-1-19 10:51
卡巴解压杀

尊敬的用户您好，

感谢您的帮助，在您提交的附件中已经发现新的恶意软件，请稍后更新最新数据库试一下
config.dat - Trojan.Win32.DLLhijack.gw
taskhostex.exe - Trojan.Win32.DLLhijack.gw
QbBridge.dll - Trojan.Win32.DLLhijack.gw
卖这个.lnk - Trojan.Win32.DLLhijack.gw

猪头无双

avast扫描无视

轩夏

MSE miss

alan521

2017年1月19日 18:12:11 - 18:12:11
扫描类型： 选择的文件和文件夹
目标： "E:\Downloads\没卖的.rar"
结果
已扫描项目： 4
找到的恶意项目： 1
详细信息
Trojan.Agent.CCYJ
E:\Downloads\没卖的.rar\û����\û����\Data\QbBridge.dll: 已跳过
版本信息
病毒定义数据库：
2017-01-19_01
扫描引擎：
F-Secure Aquarius: 11.00.01, 2017-01-19
F-Secure Gemini: 3.02.414, 2017-01-17
F-Secure Hydra: 5.15.154, 2017-01-19
F-Secure Online: 16.21.69
F-Secure USS: 5.08.198, 2016-07-06

lixihong10

先是将文件复制到 ProgramData——允许


添加服务——阻止


添加服务——阻止


又来一遍——允许


添加服务——阻止


允许执行


又一遍——允许


提权——阻止


添加服务——阻止

防火墙

先到183.60.15.179获取IP——允许
http://183.60.15.179/fcg-bin/cgi ... 9429&_=33462092
portraitCallBack({"2521689429":["http://qlogo2.store.qq.com/qzone/2521689429/2521689429/100",2790,-1,0,0,0,"103.44.145.247",0]})
2521689429 这人的QQ




然后连接到服务器，13194端口——允许


没在线就不调戏了~

上等风格

我大BD都懒得试验