过微点2.0的【样本】

695580825

运行之后无任何进程显示也无任何反应

【样本地址】http://u.115.com/file/bh1qi8il

http://bbs.kafan.cn/thread-982519-1-1.html


因为包了两层……卫士的下载保护说是安全

解压后，360杀毒2.0  QVM扫出来了







exe有签名,但是dll可能有问题

貌似因为压缩过两次导致360网盾下载保护无法识别

rar文件内有个ace压缩格式文件,ace解压后两个文件--一个是exe(有签名),一个是dll,无签名

360杀毒直接扫描rar文件,未发现病毒,扫描解压出来的ace文件,即报毒

最后发现问题:360杀毒右键扫描不会继续解压压缩包内的文件,所以右键扫描未发现,

在360杀毒界面选择指定位置扫描,检测到报毒


HaoZip.dll 这个文件里面貌似有

360.h
360a.h
HaoZip.dll
ok.fc
y25xxxxx.CLL
ycode.dll
yxxxx.CLL

确实有点问题。
改成exe后缀，结果在system32文件夹生成了一堆win98的文件


用7z解压后，运行那个ImgConvert.exe  结果生成了别的，其中一个dll被诺顿删掉了  其中那个360.txt其实是一个加密压缩包，运行那个HaoZip.exe后就确实有问题了。

hai001hai

过金山

jefffire

咳咳~~~大哥，注意版权好不？
http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-982519-pid-19149886-fromuid-398507.html

z2009

过毒霸和红伞扫描

运行后，红伞报毒2个

bluelily

有意思的样本
一开始avast和IK扫描无毒    avast居然报dll加了密码无法扫描
于是只能双击exe    然后被IK干掉不少衍生物
这玩意很危险    值得厂商注意

ppy0606

2011-5-14 19:01:59    创建文件夹    阻止
进程: d:\我的文档\virus test\%e5%95%86%e5%93%81%e4%bf%9d%e4%bf%ae%e9%85%8d%e7%bd%ae%e4%bd%bf%e7%94%a8%e8%af%b4%e6%98%8e%e5%9b%be\apr\imgconvert.exe
目标: C:\360Log
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\

jefffire

bluelily 发表于 2011-5-14 18:53
有意思的样本
一开始avast和IK扫描无毒    avast居然报exe加了密码无法扫描
于是只能双击exe    然后被IK ...

avast不错了，居然能识别好压的ace格式。目前大部分杀软都不认这个格式。

bluelily

jefffire 发表于 2011-5-14 19:06
avast不错了，居然能识别好压的ace格式。目前大部分杀软都不认这个格式。

刚订正了      应该是haozip.dll被加密了
而那个exe是用来揭开haozip.dll的工具    本身不带病毒

这个是外国杀软本土化不足的弊端啊      好在样本不带自动运行的特性否则我就死翘翘了

小a立了个小功

jefffire

bluelily 发表于 2011-5-14 19:10
刚订正了      应该是haozip.dll被加密了
而那个exe是用来揭开haozip.dll的工具    本身不带病毒

那个dll是个加密压缩文件。exe是好压。
不过这玩意儿在win7下无效，UAC悄无声息秒掉。

XMonster

360主防

http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid19151800