过360了! 穿还原卡,加驱,无进程，U盘传播！

sirliu

之所以说穿还原卡，是因为我是在学校机房上（装有还原卡）捕获的，

       发现过程:只要IE标题中带"病毒"或"杀毒"之类字眼5秒内即被关闭！

       扫描报告:http://virscan.org/report/f79872145235f8471ec0a0a803237a3c.html

暂时发现的行为
       加载驱动:释放驱动到c:\用户\administrator下并加载，加载后删除，
       镜像劫持:主流的安全工具都被劫持了。
       释放病毒文件(如下)到各个盘根目录：
      


样本已打包到附件，密码:321

KOI9009

360 SD Kill 2
微点 2.0 清空

jayavira

ess kill2个

2011-4-22 10:10:30        文件系统实时防护        文件        D:\下载文件夹\SysLive.exe        Win32/AutoRun.Delf.EP 蠕虫 的变种        通过删除清除 - 已隔离        WWW-738C9D7CF42\Administrator        在应用程序新建的文件上发生事件: D:\Program Files\WinRAR\WinRAR.exe.

2011-4-22 10:10:30        文件系统实时防护        文件        D:\下载文件夹\system.dll        Win32/TrojanDownloader.Agent.OMQ 特洛伊木马        通过删除清除 - 已隔离        WWW-738C9D7CF42\Administrator        在应用程序新建的文件上发生事件: D:\Program Files\WinRAR\WinRAR.exe.

F-secure2009

IK无压力，清空，一个木马，一个Rookit

sirliu

各位都只是用病毒样本测试杀毒软件吗？我以为样本区是玩病毒的哩~~

荷韵诗

好猛的毒

李不知

回复 5楼 sirliu 的帖子

这里分为，扫描党，分析党,HIPS党，行为党！
我是扫描党

ming9888

诺顿秒杀

mvcneo

回复 5楼 sirliu 的帖子

过360？指的是还原保护器还是驱动防火墙呢？

sirliu

李不知 发表于 2011-4-22 10:23
回复 5楼 sirliu 的帖子

这里分为，扫描党，分析党,HIPS党，行为党！

原来如此，我属于后三党吧 就喜欢没事瞎折腾