【结束】病毒要越狱？呼叫安全部队

黑羽

活动时间：2011.8.01-2011.8.07

活动内容：回复您的联系邮箱——等待测试任务邮件——按照要求完成任务(基础·拓展)——将内容编辑到回复中

活动奖励：一等奖：1名；卡巴斯基PURE一年激活码+电脑包一个

                   二等奖：2名；卡巴斯基安全部队三年盒装版+4GU盘一个

                   三等奖：3名；卡巴斯基安全部队一年激活码+大浴巾一条

                   参与奖：若干；完成要求在活动时间内编辑到回复中获得15经验

                   幸运奖：10名；卡巴斯基安全部队一年激活码

评选规则：由卡巴斯基官方和卡巴区版主分别打分，卡饭占60%，卡巴占40%。

                  图文排版内容丰富性占总分30%

                  分析报告准确性和技术性，感受真实性占总分50%

                  语言组织，阅读流程性，展示效果占总分20%。

注意事项： 本活动禁止卡巴区管理层及马甲参与，一经发现立即取消参赛资格。

                   只有完成拓展要求的会员才能资格角逐1-3等奖的奖项。

                  未尽事宜保留更改编辑权，本活动最终解释权归卡饭所用。

                   占楼和只留下邮箱没有完成任务的活动结束后一律删除

                  由于被判定为广告，请不要再提供谷歌邮箱


感谢卡巴斯基中国实验室对本次活动的大力支持！

卡巴斯基腾讯微薄  卡巴斯基新浪微博  卡巴斯基人人主页

幸运楼层.zip (926 Bytes, 下载次数: 344)

2011-8-1 10:26 上传

点击文件名下载附件

来访客人参与专帖

zhengjh333

支持活动
zhengjh333@163.com


样本名称： 360.7z

MD5值： b140ce78517d3e0a4d96c81c8fb54674   

操作系统：win7sp1(日文版)   

卡巴斯基版本：kis2012   

威胁名称：P2P-Worm.Win32.Palevo.deyj     

提示截图：




样本名称： 360.7z
  
MD5值： b140ce78517d3e0a4d96c81c8fb54674   

操作系统： win7sp1(日文版)   

卡巴斯基版本：kis2012   

威胁名称： P2P-Worm.Win32.Palevo.deyj     
   
提示截图：  

感受展望：紧张又兴奋、电脑会不会中病毒的心情下，下载了附件，卡巴果然给力，在还没反应过来的情况下病毒就被清除了。
安全桌面是第一次用，虽然不大清楚，但退回的时候，在安全桌面下保存的东西都给删除了，看样子是没什么问题。
自从有电脑时开始就一直用卡巴，以后还会一直支持下去的。

星月

email]hlj151@126.com[/email]刚才邮箱发错了现在改正确了


样本名称：Instaii1.7z  
MD5值：DA9BB4FD6563E2C6672BA28AA7844F78  
操作系统： windows7  
卡巴斯基版本：kis2012  
威胁名称：包含病毒  

病毒名

提示截图：

提示截图

行文分析：解压后卡巴斯基没有任何提示 只是在双击运行程序时才有提示

saka

1.基础任务

样本名称： 10.exe
  
RMD5值：ee2d126b090cf8f057017c605bbf3e3f

操作系统：  Windows 7 sp1
  
卡巴斯基版本：卡巴斯基2012 KIS12.0.0.374(a,b)

威胁名称：木马程序 Trojan-Dropper.Win32.Vedio.dgs
      
提示截图：
            

基本任务

2.拓展任务

样本名称： 10.exe
  
MD5值：ee2d126b090cf8f057017c605bbf3e3f

操作系统：  Windows 7 sp1
  
卡巴斯基版本：卡巴斯基2012 KIS12.0.0.374(a,b)

威胁名称：Trojan-Dropper.Win32.Vedio.dgs
      
提示截图：
            
            
行为分析：
       该文件执行后，会做以下五处变化。
       1.添加3个文件：分别为
             C:\Documents and Settings\Administrator\Local Settings\Temp\kb205322.sve
             C:\Program Files\Common Files\System\kb205322.bwb
             C:\WINDOWS\system32\dsound.dll.BOHC
       2.删除1个文件：
             C:\sand-box\44f38d607f60ce6351ff45ad0c218075.exe
       3.修改 C:\WINDOWS\system32\dsound.dll 文件。

感受体验：
     卡巴斯基2012加入了云技术，结合卡巴斯基，令人称谓的主动防御技术，使卡巴斯基的防病毒和杀病毒能力提高到了一个新的阶段。云技术的采用，使卡巴斯基对未知病毒的响应和处理能力进一步加强和加快。但卡巴斯基2012在CPU和磁盘扫描查毒时资源占用虽较之前版本相比有所改善，但个人认为还有相当的提升空间，如果能把资源占用这方面提升，作为终端用可，就可以获得更好的个人体验，那卡巴斯基将是一款完美的杀软。

杀软展望
在互联网迅速发展的今天，病毒（包含木马等）在技术手段上也取得了长足的发展，这些病毒大多依靠互联网进行传播，个人认为：病毒发展的趋势是对本地计算机性能的影响越来越小，转而以盗取个人信息等为主。传统杀软只能针对本地系统进行防御，并且依赖于配，特征匹这样在病毒库升级查杀上就有很大的滞后性。因此，个人认为未来的杀软应该注重以下几个方面：

(1)对未知病毒进行有效识别与清除。充分运用云技术，从海量的客户端中及时获取未知病毒，再由云端进行分析，采取必要有效的分析和处理，可以使对未知病毒大规模传播之前进行有效的防控。
(2)恶意脚本检测，目前恶意脚本依然广泛存在互联网，对于恶意脚本的检测和有效拦截将直接关系到系统的安全性。因此，这也是杀软应该重视的一个环节。
(3)云技术可以提高对未知病毒的防控能力，但新一代的杀软，也要注意可能出现的反云技术的病毒。

     
   

leofly

271941476@qq.com
样本名称：77.exe
MD5值：76138B9D3225404B2B18172637316FF9
操作系统：win7 sp1
卡巴斯基版本：12.0.0.374（a,b)
威胁名称：Trojan.Win32.menti.gfib
提示截图：

一晴空

邮箱：chengn1996342@gmail.com
文件名：a.exe
MD5   : 45203a68b6754d6945a4578b118a94f9
SHA1  : e4a0034bdf445a455d3a2bef548a1ce02aafb0ec
SHA256: db5faf855a38519c8f661f4a21072471c7404973b029e9ac561fd60270a050ac
上报截图：


卡巴版本：12.0.0.374  English version

dopod2009

联系邮箱：287822021@qq.com
样本名称：adgame1.exe
MD5植：3e448981e25847c48fa1438cb0dce6c7
操作系统：Microsoft Windows XP Professional Service Pack 3
卡巴斯基版本：卡巴斯基安全部队2012(12.0.0.374)
威胁名称：正在启动可能造成危害的软件
提示截图：

行为分析：2011-8-1 16:52:47        c:\documents and settings\administrator\桌面\adgame1.exe        创建新进程        c:\program files\internet explorer\iexplore.exe        允许        [应用程序]*        命令行: "C:\Program Files\Internet Explorer\iexplore.exe"  -nohome
2011-8-1 16:52:48        c:\documents and settings\administrator\桌面\adgame1.exe        向其他进程发送消息        c:\program files\internet explorer\iexplore.exe        允许        [应用程序]*        消息: WM_DDE_EXECUTE
2011-8-1 16:52:48        c:\documents and settings\administrator\桌面\adgame1.exe        访问网络        TCP [本机 : 1074] ->  [218.5.113.237 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]       
2011-8-1 16:52:50        c:\windows\system32\svchost.exe        向其他进程复制句柄        c:\program files\internet explorer\iexplore.exe        允许        [应用程序]c:\windows\system32\svchost.exe        句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000
2011-8-1 16:55:35        c:\windows\system32\services.exe        向其他进程发送消息        c:\windows\system32\csrss.exe        允许        [应用程序]c:\windows\system32\services.exe        消息: WM_DEVICECHANGE

感受展望：
待编辑

壮丁

我的邮箱，834322107@qq.com

样本名称：arquivo
MD5值:BD044429882AE2E7EF384CC59A446E94
操作系统:windows xp
卡巴斯基版本:卡巴斯基安全部队2012
威胁名称：Trojan-banker.32.Banbra.abjm
提示截图：

蓝色飞鱼

yuxiaotao@foxmail.com
样本名称：ass.zip(ass.exe)
MD5值：d71f3c93f2731ff6ef9fa0047e54789c
操作系统： WIN7旗舰版
卡巴斯基版本：卡巴斯基反病毒工作站6.0.4.1424d.f加强版
威胁名称：  Trogan-Dropper.Win32.VB.avyr
提示截图：
                  
行文分析：卡巴斯基的监控非常灵敏，解压过程中就弹窗提示有木马，由于本人使用的是工作站，因此对于木马采取了备份的方式，出现误报时可以轻松进行还原，非常周到
                  
未来展望：由于使用局域网，因此对于ARP的防御比较重视，但是卡巴斯基工作站的防火墙好像对于局域网的防御能力有限，不如COMODO,OP等传统防火墙的防御到位，而且防火墙设置简单，规则无法导入，希望能够加强防火墙的防护全面性。
最新的KIS2012安全部队版本，个人感觉图形界面过于复杂，需要多次点击鼠标才能找到需要的选项，不如KIS2009版本的界面容易入手，对于很多初次接触卡巴斯基的朋友来说，上手有一定的难度。
最后希望卡巴斯基能尽快开发和发布新版本的工作站程序，毕竟6.0已经很长时间没有变动了。
祝愿卡巴斯基的市场占有率越来越大，卡饭举办的活动圆满成功，当然也希望自己能够获奖了

佩恩无视一切

pejslm@qq.com

样本名称：autorun.exe
MD5值：a4bccc1724a04590712828b5fc70f15a
操作系统：Windows XP SP3
卡巴斯基版本：卡巴斯基安全部队2011  版本号556
威胁名称：木马程序 Trojan-Spy.Win32.Goldun.mv


提示截图：



               解压后被拦截（拦截速度很快）



                               病毒被清除成功



                    双击病毒被卡巴斯基拦截


行文分析：
• File Info

Name	Value
Size	406016
MD5	a4bccc1724a04590712828b5fc70f15a
SHA1	8730c8946083445e3c8fb3581768ce092c0f82d2
SHA256	5bd9206041c002adb44fdb1b894a8d41e91d9797a11fd41f2d64b9a16626fe5b
Process	Exited

• Keys Created
• Keys Changed
• Keys Deleted
• Values Created

Name	Type	Size	Value
CU\Software\Microsoft\Windows\CurrentVersion\Run\Desktop.ini	REG_SZ	42	"c:\windows\lsass.exe"

• Values Changed
• Values Deleted
• Directories Created

Name	Last Write Time	Creation Time	Last Access Time	Attr
C:\WINDOWS\system32\temp	2009.01.09 10:37:27.000	2009.01.09 10:37:26.859	2009.01.09 10:37:27.000	0x10

• Directories Changed
• Directories Deleted
• Files Created

Name	Size	Last Write Time	Creation Time	Last Access Time	Attr
C:\WINDOWS\killer.exe	176128	2009.01.09 10:37:26.968	2009.01.09 10:37:26.937	2009.01.09 10:37:26.937	0x20
C:\WINDOWS\lsass.exe	314880	2009.01.09 10:37:25.750	2009.01.09 10:37:25.734	2009.01.09 10:37:25.734	0x20
C:\WINDOWS\system32\temp\lsass.exe	49664	2009.01.09 10:37:26.937	2009.01.09 10:37:26.906	2009.01.09 10:37:26.906	0x20

• Files Changed
• Files Deleted
• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes Created

PId	Process Name	Image Name
0x4b4	lsass.exe	C:\Windows\lsass.exe

• Processes Terminated
• Threads Created

PId	Process Name	TId	Start	Start Mem	Win32 Start	Win32 Start Mem
0x2b0	lsass.exe	0x4b0	0x7c810856	MEM_IMAGE	0x77e76bf0	MEM_IMAGE
0x2b0	lsass.exe	0x4c0	0x7c810856	MEM_IMAGE	0x75738e06	MEM_IMAGE
0x4b4	lsass.exe	0x5d0	0x7c810867	MEM_IMAGE	0x412368	MEM_IMAGE
0x4b4	lsass.exe	0x674	0x7c810856	MEM_IMAGE	0x77a8964a	MEM_IMAGE

• Modules Loaded
• Windows Api Calls
• DNS Queries
• HTTP Queries
• Verdict
• Description

Auto Analysis Verdict

Suspicious+

• Mutexes Created or Opened

Suspicious Actions Detected

Creates autorun records

Creates files in windows system directory

PId	Image Name	Address	Mutex Name
0x4ac	C:\TEST\sample.exe	0x7c81a838	ShimCacheMutex

• Events Created or Opened

PId	Image Name	Address	Event Name
0x4ac	C:\TEST\sample.exe	0x77a89422	Global\crypt32LogoffEvent
0x4b4	C:\Windows\lsass.exe	0x77a89422	Global\crypt32LogoffEvent

感受展望：
     认识卡巴斯基时间不久啊，起初杀毒软件只知道瑞星和金山，后来也无聊的慌，百度查了一下什么杀毒软件最好，才使得卡巴斯基进入我的视线。刚开始对卡巴斯基的了解是看网上的别人的评价，大多都说卡巴斯基全世界一流 ，百毒不侵，当然评价严重卡机的也很多。后来加入了卡饭，对卡巴斯基的了解上升了一个层次。后来我把主机上的360套装换成了卡巴斯基安全部队2011，卡巴斯基成为了我上网的护航卫士。一年以来，我还没发现过电脑中毒的情况，这种安全感是除了良好的上网习惯外，还必须有卡巴斯基撑腰。
这次对病毒的测试，可以说是第一次。我虽然注册卡饭论坛有半年多的时间，却没有真正意义上测试过任何杀毒软件。测试的卡巴斯基安全部队的病毒库是没有更新的，已经严重过期了。发来的样本，才刚刚点击要下载，卡巴斯基就提示文件安全（带密码的压缩包，不用多说）。这一点非常强大，像国产的金山和奇虎，要下载好后才扫描，这无疑是把病毒带到硬盘上，无法体现强大 的防御体系。要是下载大文件，恐怕····。 在解压病毒包的时候，可以感受都卡巴基斯已经在活动，其表现是解压速度慢，系统运行速度略微下降。刚刚解压成功，卡巴斯基就提醒发现病毒，并且很快把病毒处理掉。（本来是想在开启卡巴斯基的时候验证MD5值的，后来速度跟不上，只好先关闭实时保护在验证）。接着直接双击病毒，知道什么吗？直接跳出窗口提示另一个程序正在使用        此文件，我想应该知道是哪个程序了。与提示框一起蹦出来的还有卡巴斯基的病毒拦截提示框。紧接着是卡巴斯基的绿色框，提示威胁被成功清理。此次测试实验，让我体验到了卡巴斯基强悍的立体防御和病毒处理能力。虽然没有测试扫描模块，但我能坚信卡巴斯基的能力，再者防远胜于杀。希望卡巴斯基越做越牛逼 。