【结束】病毒要越狱？呼叫安全部队

剑步如飞

邮箱：jianfei225@163.com

基础任务：

样本名称：Happy88.exe  
MD5值：   47C06814BC33D26505EBE624FD1700ED  
操作系统： Win7 SP1   
卡巴斯基版本：  KIS2012(12.0.0.374(a.b))
威胁名称： 已上报    2011/8/2 0:06
提示截图：




上报答复：


------------------------------------------------------------------------------------------------------------------------------
拓展任务：

样本名称：Happy88.exe  
MD5值：   47C06814BC33D26505EBE624FD1700ED  
操作系统： Win7 SP1   
卡巴斯基版本：  KIS2012(12.0.0.374(a.b))
威胁名称：卡巴安全桌面和sandboxie中运行均失败
提示截图：

wz_0911

www19910911@163.com
基础任务：
样本名称：hpspm98.exe
MD5值：A34DAC4B51107FAE8597732F461EC02C
操作系统：Windows 7 Ultimate 32bit
卡巴斯基版本：卡巴斯基安全部队12.0.0.374（a,b)
威胁名称：未检测到威胁
提示截图：
上报截图：

拓展任务待续...

75613337

很久以前久用卡巴了 记得应该是卡巴7.0 后来和360一起用了还一直用到卡巴2010 到了卡巴2011就单本 到现在 也看到了卡巴技术不断的进步 期间用过其他杀软 但觉得还是用着卡巴就是放心 基本上和病毒绝缘 用其他杀软的总是有点不太放心  另外卡巴2012现在相对来说比较流畅 一直都偏爱卡巴
邮箱: 75613337@qq.com

样本名称：MzdBTUpdate.exe
MD5值：D0699F6BFE6DE13337BA441F311C4B1E
操作系统：WINDOWS XP3
卡巴斯基版本：卡巴斯基安全部队2012
威胁名称：Trojn-Downloader.Win32.Genome.adbd
提示截图：

截图

行文分析：分析什么？分析这个木马样本还是分析卡巴？
感受展望：查杀防护能力强悍  希望卡巴在流畅方面下点功夫 让人觉得卡巴不在是卡 而是很强悍很流畅

sfzjn

sfwzhuce@yeah.net

样本名称：   izle.exe
MD5值：   1B528CF64850D51DA6E43DBEF375D233
操作系统：    Win7 SP1
卡巴斯基版本：   卡巴斯基2012简体中文版
威胁名称：     Trojan-Downloader.Win32.VB.akki
提示截图：

huyang714

gemen118@126.com

【基础任务回复格式】
样本名称：joujizz.exe
MD5值：de844ae81760d5530741965fdd33f113
操作系统：XP Professional Service Pack 3（2002）
卡巴斯基版本：11.0.1.400（a.b.c）即：安全部队2011
威胁名称：Trojan.Win32.VB.atmo
提示截图：




但是，完成基础任务后，出现了一个问题，囧。


----------------------------------------------------------------------

PS：看来拓展任务就只能交给大虾们去完成了，我就保守地只参加基础任务了。

withero

谢谢老大，我也参与。。。
we193-1@yahoo.com.cn


样本名称：Trojan-Spy.Win32.Zbot.Bywq
MD5值：76922B7D1295D5D116B3B2CE71581EDD
操作系统：WinXP SP3
卡巴斯基版本：卡巴斯基安全部队2012
威胁名称：包含木马     
提示截图：
解压时   



从压缩包输入密码直接双击打开提示
先是卡巴提示

然后Win提示

再卡巴提示如下



行文分析： 一解压马上就报毒了。在虚拟环境下直接打开会在软件运行前报毒，很安全。
但为了测试MD5禁用防护再开启后不知道是不是点的太快了还是怎么的，中招了。所有程序打不开，提示不是有效的Win32程序，重启后恢复正常。      


感受展望：我用的雅虎邮箱趋势没有报毒，看来KIS还是最信的过的，前两天刚换回KIS就是因为在用Avast!时QQ被盗过，在QQ Bin里有个25M的msimg32.dll ，放了1个月Avast!没报毒（昨天才报了），KIS就不一样了，很早在线扫描时就发现了。现在卡巴对有大量EXE文件的文件夹扫描也快了很多，比原来强多了，希望卡巴继续加油，做回中国网民唯一的选择，现在是最好的时候啊，国产的金山大家只知道他有个卫士了，不知道他的杀毒软件了，X星就更不用说了，一个娱乐公司；国外的NOD感觉还不如Avast，使用不方便，查杀也不强，诺顿更是养毒专业户，呵呵，希望卡巴把握好机会，占领杀软第一名，同时给与广大用户最大的安全环境，和更多的实惠。谢谢！

PS:附件一不小心点了下，好像中毒了。 重启看看。还好重启没事了。呵呵。

妖言

yaoyanpeipei@sina.com

拓展任务:
      样本名称：
                  
      
      MD5值：
                 

      操作系统：
                  

      卡巴斯基版本：
                          

      威胁名称：无

      提示截图：右键扫描：
                                 
                     双击运行：
                                
                     下面没提示了！

      行文分析：
                    
                    我勒个去！竟然是信任程序。既然这样那就成功运行了。
                     

感受展望：这个文件是有数字签名的：
              
              但并不是有数字签名就一定安全。请看AVG的提示：
              
        
              
个人认为卡巴斯基的整体防护非常全面，防护的力度也挺到位，在安全性和易用性上也寻到了一个相对平衡点，大家在使用卡巴斯基的时候，最好请在“应用程序控制”中“信任具有数字签名的应用程序”前面的钩去掉。对于一些未知或不确定的应用程序，先在沙盘中运行下。安全软件虽然做不到绝对安全，但可以保护我们尽量安全。

Lynnfield

kelvin.clay@gmail.com

基础任务：
样本名称：modb.exe
MD值：EF17530174CF0E86AB9B2029CF5EFDAE
操作系统：Windows 7 Ultimate 64bit with SP1
卡巴斯基版本：Kaspersky Internet Security 2012
威胁名称：Trojan.Win32.Pincav.bjgi.
提示截图：

拓展任务：
样本名称：modb.exe
MD值：EF17530174CF0E86AB9B2029CF5EFDAE
操作系统：Windows XP Professional 32bit with SP3
卡巴斯基版本：Kaspersky Internet Security 2012
威胁名称：Trojan.Win32.Invader
提示截图：
行为分析：创建了一个新的进程modb.exe
                 创建了新的注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\modb.exe使其能够随系统启动
感受展望：KIS2012非常全面的保护着我的电脑，在解压后立即提示删除，在运行前提示有病毒，运行后也能完整的清除。使用KIS以来，只要听从KIS提示的就没有中过毒，只有当太过自负，关闭KIS，强行运行可疑程序时才有过几次的中毒经历，对目前的KIS2012真的非常满意。

ablhr

一：基础：
1：样本情况


2.报毒情况：
没报

3.上报图：


二：双击扩展：
1.先看camas上传分析





分析是可疑+，加自启动项，改IE。

2.运行后，卡巴未拦截，360提示添加了IE插件，实机eset拦截网址


3.卡巴自动将此设为信任组，因为有数字签名

取消此选项，将未知程序设为高限制组，运行样本仍然为信任组


总结：
这个样本应该是个插件，行为动作也比较多，据有人说此样本是韩国某公司所出的正规文件，卡巴加白了，所以也就信任了，但也能看出，卡巴默认设置里面自动信任有数字签名的程序这个选项默认勾上是有不妥之处的，毕竟现在伪造数字签名的样本层出不穷，希望官方予以重视，当然，卡巴的KSN信誉还是弄的不错的，希望再次基础上能够再接再厉

杀毒很猛

样本名称：MzdBits.exe
MD5值：   4a3bab0e334ac029d46bbf40865a3f4c
操作系统：Windows XP SP3
卡巴斯基版本：  12.0.0.374 (a.b)

威胁名称：  
实时监控及文件智能查杀扫描未检测到威胁

KSN信誉扫描显示少于10用户使用过此文件


双击运行结果：
1. 首先是应用程序控制提示无数字签名，危险级别较高


2. 手动选择限制级别，网页防护报木马下载


成功拦截


网页防护的详细信息
      

将主程序MzdBits.exe上报至http://support.kaspersky.com/virlab/helpdesk.html?LANG=cn



感受展望：
这个程序是个老程序了，多引擎在线扫描很多主要杀软都是直接报，不知卡巴为何不报，当然对于木马下载，卡巴还是可以成功阻止，防护方面卡巴斯基还是值得信赖的。我对卡巴的感觉是，应用程序控制提示无数字签名，危险级别较高这一步意义不大，如果我强调特别安全，那么仅使用常用软件这个功能基本用不到，如果我经常尝试小软件，这个提示必然要被忽略，否则无法使用，所以我觉得这一步的提示可以做相应改进，至少默认模式建议将这个弹窗移除，改成卡巴自动判断。