fake alert的本体，非 downloader，骗过 CIMA

显示全部楼层 · 发表于 2011-5-5 16:37:23

本帖最后由 a256886572008 于 2011-5-5 20:22 编辑

这3只，送到 CIMA 全都没反应，但是，实机运行之後，是有动作的。

所以，送到 CIMA ，没发现可疑动作，别说该文件是 clean 的。

实机运行，才比较准确。

---------------------------------
http://camas.comodo.com/cgi-bin/ ... c4d9a18a3b7a6fd05c6

無反應

2011-05-05 16:30:56 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hnf.exe Sandboxed As Partially Limited

2011-05-05 16:30:57 C:\Documents and Settings\Roger\Local Settings\Temp\sshnas21.dll Sandboxed As Partially Limited

2011-05-05 16:31:04 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hnf.exe Modify File C:\WINDOWS\system32\sshnas21.dll

2011-05-05 16:31:04 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hnf.exe Modify Key HKLM\SYSTEM\ControlSet001\Services\SSHNAS

2011-05-05 16:31:04 C:\Documents and Settings\Roger\Local Settings\Temp\sshnas21.dll Access Memory System

http://camas.comodo.com/cgi-bin/submit?file=24b0fcb16e677bf84867b5cd7ddb56e9a5e37475ca45e3c435356e6fc93365da

無反應

2011-05-05 16:39:04 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hng.exe Sandboxed As Partially Limited

2011-05-05 16:39:10 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hng.exe Modify File C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job

2011-05-05 16:39:27 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hng.exe Modify Key HKUS\S-1-5-21-2000478354-583907252-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\

2011-05-05 16:39:34 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hng.exe Modify Key HKUS\S-1-5-21-2000478354-583907252-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

http://camas.comodo.com/cgi-bin/ ... 892ff2da53bc455b103

無反應

2011-05-05 16:42:30 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hnh.exe Sandboxed As Partially Limited

2011-05-05 16:42:42 C:\Documents and Settings\Roger\桌面\virus\movie.avi\Hnh.exe Modify Key HKUS\S-1-5-21-2000478354-583907252-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8

显示全部楼层 · 发表于 2011-5-5 16:51:30

本帖最后由西风萧雨于 2011-5-5 16:57 编辑

KIS2011 MISS ,TO KL~~~

3个文件上报毒霸均鉴定为“危险”

显示全部楼层 · 发表于 2011-5-5 16:56:58

本帖最后由 594157544 于 2011-5-5 17:00 编辑

NOD32 正常，毒霸 kill

to eset

显示全部楼层 · 发表于 2011-5-5 17:05:38

骗过 CIMA
不过。无法骗过阿努比斯（一个无法分析）
to eset

http://anubis.iseclab.org/?actio ... d65&format=html

http://samples.nod32.com.hk/inde ... fd9e2142a0fe1c01b47

http://samples.nod32.com.hk/inde ... 2828346393f648f0b62

http://anubis.iseclab.org/?actio ... 0d1&format=html

http://samples.nod32.com.hk/inde ... 87a3449fd22708b9829

显示全部楼层 · 发表于 2011-5-5 17:07:07

回复 4楼 jayavira 的帖子

嘿嘿已经邮件上报嘎嘎

显示全部楼层 · 发表于 2011-5-5 17:09:54

回复 5楼 594157544 的帖子

嗯
我刚刚分析比较久，所以没看到你已经上报了

显示全部楼层 · 发表于 2011-5-5 17:14:15

all to mse

显示全部楼层 · 发表于 2011-5-5 17:38:11

NOD32 刚刚更新了病毒库，已经能够杀掉(6096)

显示全部楼层 · 发表于 2011-5-5 17:39:52

360 SD Kill All

显示全部楼层 · 发表于 2011-5-5 18:03:50

jayavira 发表于 2011-5-5 17:05
骗过 CIMA
不过。无法骗过阿努比斯（一个无法分析）
to eset

eset 已经kill
C:\Users\微亿毫\Desktop\movie.avi\Hnf.exe - Win32/TrojanDownloader.FakeAlert.BJO trojan
C:\Users\微亿毫\Desktop\movie.avi\Hng.exe - a variant of Win32/Kryptik.NJV trojan
C:\Users\微亿毫\Desktop\movie.avi\Hnh.exe - a variant of Win32/Kryptik.NJV trojan

[病毒样本] fake alert的本体，非 downloader，骗过 CIMA

评分

评分