一个，我没上报，不知是否为毒。有兴趣的拿去玩玩。我没虚拟机

显示全部楼层 · 发表于 2011-1-2 12:40:04

本帖最后由 hujiwa 于 2011-1-6 17:59 编辑

求encode加密解密软件，要没什么字数限制的 http://bbs.kafan.cn/thread-880682-1-1.html
友情提醒，如果是亲自实机玩此毒的，删掉vvolume相关的注册表值，但注意不要误删到其他的。

显示全部楼层 · 发表于 2011-1-2 12:42:42

KIS
检测到威胁: Trojan.VBS.Agent.lt E:\download\setup.HTA

显示全部楼层 · 发表于 2011-1-2 12:44:13

下载时卡巴不报，下载到本地右键查杀报

显示全部楼层 · 发表于 2011-1-2 12:45:44

本帖最后由三生缘石于 2011-1-2 12:48 编辑

不能运行
http://camas.comodo.com/cgi-bin/submit?file=2acdc8e8a4efbbc0f83e49c190e1c63ea9529989a7c145a86c44dc5b23124a66
本地沙盘
to eset

显示全部楼层 · 发表于 2011-1-2 12:55:17

回复 4楼三生缘石的帖子

这个是HTA格式的，比较特殊。

显示全部楼层 · 发表于 2011-1-2 12:59:38

回复 4楼三生缘石的帖子

打开方式是microsoft html application host
我刚才实机运行了下，桌面有个顽固图标。

显示全部楼层 · 发表于 2011-1-2 13:00:59

to 360sd

显示全部楼层 · 发表于 2011-1-2 13:01:59

hujiwa 发表于 2011-1-2 12:59
回复 4楼三生缘石的帖子

打开方式是microsoft html application host

就是流氓软件啦。生成一堆网址的，看上面本地沙盘啊。

显示全部楼层 · 发表于 2011-1-2 13:02:23

嗯！伪装了一下格式，大蜘蛛：
/setup.HTA - archive HTML
>>setup.HTA/VBScript.Encode.0 packed by ENCODED SCRIPT
>>>setup.HTA/VBScript.Encode.0 probably infected with SCRIPT.Virus
大蜘蛛报告的是可疑文件，这是大蜘蛛启发式分析得出的判断。

显示全部楼层 · 发表于 2011-1-2 13:16:04

回复 8楼三生缘石的帖子

呵呵是滴~。我刚才实机运行了下样本，有那些网址在IE收藏夹里.

我没使用沙盘hips，所以没分析。你那是沙盘吧。。

我这多了个顽固图标，你沙盘分析出来没

[病毒样本] 一个，我没上报，不知是否为毒。有兴趣的拿去玩玩。我没虚拟机

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分