淘宝骗子发过来的病毒——转自病毒救援区

jefffire

dm34343667 发表于 2011-7-5 15:31
唉，咋都不知道解压了再压缩其他格式呢？无语

这玩意儿针对性样本，老过360

李白vs苏轼

思路挺不错的
增加lnk来达到开机启动不会拦,
注册表内容："C:\Program Files\Microsofts.NET\MSNKin\ActionKin.lnk" /start
但关键是 lnk调用的没成功

jefffire

dm34343667 发表于 2011-7-5 15:31
唉，咋都不知道解压了再压缩其他格式呢？无语

解压后
c:\users\arthur\desktop\scan\dingdan\dingdan.exe -> 1.000 19 MALWARE Malware.QVM
19.Gen

李白vs苏轼

jefffire 发表于 2011-7-5 16:07
这玩意儿针对性样本，老过360

ace只是用来过下载保护的
但像我这种只喜欢7z的 样本就憋了

jefffire

李白vs苏轼 发表于 2011-7-5 16:09
ace只是用来过下载保护的
但像我这种只喜欢7z的 样本就憋了

呵呵

李白vs苏轼

jefffire 发表于 2011-7-5 16:09
解压后
c:\users\arthur\desktop\scan\dingdan\dingdan.exe -> 1.000 19 MALWARE Malware.QVM
19.Gen

时间        操作        说明        次数
16:00:48        已允许        修改 开机启动项        1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[360Dos]
注册表内容："C:\Program Files\Microsofts.NET\MSNKin\ActionKin.lnk" /start
进程：C:\Documents and Settings\Administrator\桌面\病毒\病毒\dingdan.exe


lnk指向"C:\Program Files\Microsofts.NET\MSNKin..\MSN Kin.exe" install

但是运行没成功

619875192

卡巴


        检测到威胁: Trojan.Win32.Agent.huwp               

郑伟用户

jefffire 发表于 2011-7-5 16:07
这玩意儿针对性样本，老过360

不是只360，金山对这个也不太好。不过就这个样本，我们解压完，毒霸2012可以杀到，360卫士的云引擎 QVM
红伞 启发全开情况下还是扫描不出来。通过重新打包为rar或者zip金山和360都也识别，看来两家对付压缩炸弹不是问题，而是对7z或者是ace支持都需要分析改进，而这个360的主防也应该找一下原因，微点可以拦截，360主防没反应有点说不过去。

fengliu139

360没有反应
报了个增加启动项，还显示是Vmare的服务，不知道怎么回事
话说针对这种样本360还是不给力啊

wjcharles

NIS2011 miss，貌似在我这（Win7）没有创建Microsofts.NET文件夹，样本一直占cpu50%