12
返回列表 发新帖
楼主: a256886572008
收起左侧

[病毒样本] 測主防,調用信任程序作壞事

[复制链接]
a256886572008
 楼主| 发表于 2011-8-13 21:49:29 | 显示全部楼层
hddu 发表于 2011-8-13 21:48
失败的飘过

你的主防被穿破了?

hddu
发表于 2011-8-13 22:02:37 | 显示全部楼层
a256886572008 发表于 2011-8-13 21:49
你的主防被穿破了?

检测到病毒修改内存,检测试不到病毒调用信任程序作坏事,乃的一大失败。
乃说是不是被穿过了?
yjwfdc
头像被屏蔽
发表于 2011-8-13 22:04:45 | 显示全部楼层
2011-08-13 22:03:45        应用程序保护(修改其它进程内存)     操作:阻止并结束进程
进程路径:E:\123\readme\readme.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
wjcharles
发表于 2011-8-13 22:35:13 | 显示全部楼层
本帖最后由 wjcharles 于 2011-8-13 22:36 编辑

实机运行,nis2011杀衍生物,母体消失:

类别:已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2011/8/13 22:29,高,检测到 9a0b33b1992.exe (9a0b33b1992.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\romano.bin\9a0b33b1992.exe
2011/8/13 22:29,高,检测到 9a0b33b1992.exe (9a0b33b1992.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\romano.bin\9a0b33b1992.exe
2011/8/13 22:29,高,9cabe960490d97f (Trojan.Spyeye!conf) 检测方 自动防护,已阻止,已解决 - 不需要操作,
2011/8/13 22:29,高,检测到 9a0b33b1992.exe (9a0b33b1992.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\romano.bin\9a0b33b1992.exe
2011/8/13 22:27,高,检测到 9a0b33b1992.exe (9a0b33b1992.exe) (检测方: SONAR),已隔离,已解决 - 不需要操作,c:\romano.bin\9a0b33b1992.exe



完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
不可用
上次使用时间:
( )
启动项:

已启动:

____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自  URL 不可用

____________________________
文件操作
文件: c:\romano.bin\9a0b33b1992.exe
不需要操作
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-4063175210-3718970569-1381544335-1001\Software\Microsoft\Windows\CurrentVersion\Run->4Y3Y0C3AYWVDXF9BKKIOPYPXJE
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\romano.bin\9a0b33b1992.exe, PID:3452)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
XMonster
发表于 2011-8-14 08:52:43 | 显示全部楼层
a256886572008 发表于 2011-8-13 21:00
阻止  創建文件夾 作什麼?

2011-08-14 08:52:19        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\Ati2evxx.exe
2011-08-14 08:52:16        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\System32\svchost.exe
2011-08-14 08:52:15        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\svchost.exe
2011-08-14 08:52:14        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\Ati2evxx.exe
2011-08-14 08:52:13        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\svchost.exe
2011-08-14 08:52:11        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\svchost.exe
2011-08-14 08:52:10        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\lsass.exe
2011-08-14 08:52:08        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
2011-08-14 08:52:05        应用程序保护(修改其它进程内存)     操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\readme\readme.exe
目标进程:C:\WINDOWS\Explorer.EXE
一晴空
发表于 2011-8-14 09:22:09 | 显示全部楼层
文件被删除。

文件: G:\readme.exe
病毒: Gen:Variant.Kazy.33819 (引擎A)
G data
wuyongliang
头像被屏蔽
发表于 2011-8-14 09:31:58 | 显示全部楼层
AVG  KILL
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:04 , Processed in 0.106963 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表