8-29，286F，云QVM实时云鉴定80%，误报K20%/V 0%，卫士联网90% /E70%，误报K 0，V 20%

显示全部楼层 · 发表于 2011-8-1 20:40:45

本帖最后由 leisong 于 2011-8-1 20:40 编辑

第二个运行错误

显示全部楼层 · 发表于 2011-8-1 20:43:25

本帖最后由 leisong 于 2011-8-1 20:45 编辑

B-10 B-11 B-12同第一个，有签名

显示全部楼层 · 发表于 2011-8-1 20:52:53

来支持下。

显示全部楼层 · 发表于 2011-8-1 21:03:07

请官方分析下这4个带签名的文件是白文件还是流氓文件

http://u.115.com/file/dn6jpot4

显示全部楼层 · 发表于 2011-8-1 21:07:47

暂且将带签名的主防弹绿框的判为拦截失败，等有了不同的结果再改

显示全部楼层 · 发表于 2011-8-1 21:08:55

唉。。。来晚一步，第一页又没了

显示全部楼层 · 发表于 2011-8-1 21:09:47

居然第一天主防就没100

显示全部楼层 · 发表于 2011-8-1 21:09:53

我前排木有了

显示全部楼层 · 发表于 2011-8-1 21:10:15

本帖最后由李白vs苏轼于 2011-8-1 21:14 编辑

leisong 发表于 2011-8-1 21:03
请官方分析下这4个带签名的文件是白文件还是流氓文件

http://u.115.com/file/dn6jpot4

我也有去点击都直接绿框了呵呵

例如这个：20110731-A-18

2011-8-1 19:40:54 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\20110731-a-18.exe
命令行: "C:\Documents and Settings\Administrator\桌面\20110731-A-18.exe"
规则: [应用程序]*

2011-8-1 19:40:54 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsk5.tmp\UAC.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-8-1 19:40:55 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Program Files\EasyOn\EasyOn.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-8-1 19:40:55 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Program Files\EasyOn\EasyOn.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-8-1 19:40:55 创建新进程允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: c:\windows\system32\regsvr32.exe
命令行: C:\WINDOWS\system32\regsvr32.exe /s "C:\Program Files\EasyOn\EasyOn.dll"
规则: [应用程序]*

2011-8-1 19:40:55 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Program Files\EasyOn\Uninstall.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-8-1 19:40:55 修改注册表值允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51A6FBA6-21E1-44B9-8998-5E886EB3E74F}\InprocServer32
值: C:\Program Files\EasyOn\EasyOn.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-8-1 19:40:55 创建注册表项允许
进程: c:\windows\system32\regsvr32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BROWSER HELPER OBJECTS\{1CE681DC-1190-40EF-85A9-ADE47098CF51}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2011-8-1 19:40:55 创建新进程允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: c:\program files\easyon\easyon.exe
命令行: "C:\Program Files\EasyOn\EasyOn.exe"
规则: [应用程序]*

2011-8-1 19:40:56 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsk5.tmp\IpConfig.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-8-1 19:40:56 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmiprvse.exe
命令行: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
规则: [应用程序]*

2011-8-1 19:40:56 修改注册表值允许
进程: c:\program files\easyon\easyon.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\EasyOn
值: C:\Program Files\EasyOn\EasyOn.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-8-1 19:40:56 创建新进程允许
进程: c:\program files\easyon\easyon.exe
目标: c:\windows\system32\regsvr32.exe
命令行: regsvr32 /s "C:\Program Files\EasyOn\EasyOn.dll"
规则: [应用程序]*

2011-8-1 19:40:56 创建文件允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsk5.tmp\NSISdl.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2011-8-1 19:40:57 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: UDP [本机 : 63910] ->  [192.168.0.1 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-1 19:40:57 访问网络允许
进程: c:\program files\easyon\easyon.exe
目标: TCP [本机 : 1040] ->  [180.71.56.227 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-8-1 19:40:57 访问网络允许
进程: c:\documents and settings\administrator\桌面\20110731-a-18.exe
目标: TCP [本机 : 1041] ->  [180.71.56.227 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

这个文件释放出来的文件，金山的鉴定结果很奇怪：

显示全部楼层 · 发表于 2011-8-1 21:16:39

本帖最后由 zouguan508 于 2011-8-1 21:25 编辑

leisong 发表于 2011-8-1 21:03
请官方分析下这4个带签名的文件是白文件还是流氓文件

http://u.115.com/file/dn6jpot4

收到，稍候给工作人员看看，自己下来随便测测。网盾和压缩包可疑，360杀毒云QVM报毒（没有解压啊，我直接扫扫看看结果的，呵呵）

这说明360的云主防可能看在有数字签名的情况下弹绿框，但扫描不会管你有没有数字签名，样本有问题就直接报可疑

额，不知道该说是云扫描太给力了，还是360云主防对数字签名的样本太无视了

[讨论] 8-29，286F，云QVM实时云鉴定80%，误报K20%/V 0%，卫士联网90% /E70%，误报K 0，V 20%

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源