让大家见识一下SpyEyes（金山安全,现可杀），李白进

绅博周幸

The EQs 发表于 2011-8-26 09:08
看不下去了，某些人认为自己运行没有行为的就是干净的，太搞笑了，很多病毒会识别进程，一旦检测到VM、沙盘 ...

同意你的看法，自己机器上所谓的“没行为，无危害”不代表到某些特定环境下也如此，比如论坛里有不少样本是反沙盘的。

seehere

57楼说的有道理，没动作可能是没触发。这么多都开始报了，说明问题真有。

cfans

分析报告
http://www.threatexpert.com/repo ... bc4b48ca141a58d8ea9

【What's been found】       
Communication with a remote IRC server.       
Downloads/requests other files from Internet.       
Creates a startup registry entry.

he newly created Registry Value is:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        Wcxaxw = "%AppData%\Wcxaxw.exe"

    here was registered attempt to establish connection with the remote host. The connection details are:

Remote Host        Port Number
199.15.234.7        80

    The data identified by the following URL was then requested from the remote web server:
        http://api.wipmania.com/       

绅博周幸

cfans 发表于 2011-8-26 09:47
分析报告
http://www.threatexpert.com/report.aspx?md5=7936adf7630a4bc4b48ca141a58d8ea9

excellent, 谢谢你说出了真相。

hx1997

这是僵尸程序，一开始没动作也很正常嘛，不然怎么叫僵尸呢。
要等僵尸网络发出攻击指令，僵尸程序才会有所动作的，触发型的。

僵尸程序一旦侵入系统，会像木马一样隐藏自身，企图长期潜伏在受感染系统中，随时等待远程控制者的操作命令。

当Bot在被感染计算机上运行后，以一个随机的Nickname和内置密码连接到特定的IRC服务器，并加入指定的频道。攻击者随时登陆该频道，并发送认证消息，认证通过后，随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题，如果是已通过认证的攻击者的可识别的指令，则立即执行。

这是一个例子，但并非所有僵尸都这样。
http://www.bingdun.com/ddos/295.htm

liulangzhecgr

hx1997 发表于 2011-8-26 10:15
这是僵尸程序，一开始没动作也很正常嘛，不然怎么叫僵尸呢。
要等僵尸网络发出攻击指令，僵尸程序才会有所 ...

看你这么解释,样本区下载运行的话无危险,真正的僵尸?!

hx1997

liulangzhecgr 发表于 2011-8-26 10:28
看你这么解释,样本区下载运行的话无危险,真正的僵尸?!

无动作的不一定是僵尸，僵尸不一定无动作。
正好碰上一个无动作的僵尸。

剑步如飞

来学习了，看来没动作不一定就不是病毒

yjwfdc

李白vs苏轼 发表于 2011-8-25 17:45
可是也不能说是病毒啊

我不是也弄了个不行为的吗

你那个是测试文件,

下面的你说得对,pe要运行还跟环境有关,没有行为只因没有符合的环境,到环境符合就有行为了.

就象以前的cih病毒,平时除了感染其它exe文件外,什么行为都没有,但一到4月26日,就会破坏bios.

连续几年的4月26日会有几十万台电脑无法开机.

liulangzhecgr

hx1997 发表于 2011-8-26 10:30
无动作的不一定是僵尸，僵尸不一定无动作。
正好碰上一个无动作的僵尸。

我说的是 lz的样本!啊!