楼主: 绅博周幸
收起左侧

[病毒样本] 让大家见识一下SpyEyes(金山安全,现可杀),李白进

   关闭 [复制链接]
绅博周幸
 楼主| 发表于 2011-8-26 09:21:15 | 显示全部楼层
The EQs 发表于 2011-8-26 09:08
看不下去了,某些人认为自己运行没有行为的就是干净的,太搞笑了,很多病毒会识别进程,一旦检测到VM、沙盘 ...

同意你的看法,自己机器上所谓的“没行为,无危害”不代表到某些特定环境下也如此,比如论坛里有不少样本是反沙盘的。
seehere
发表于 2011-8-26 09:42:53 | 显示全部楼层
57楼说的有道理,没动作可能是没触发。这么多都开始报了,说明问题真有。
cfans
发表于 2011-8-26 09:47:11 | 显示全部楼层
分析报告
http://www.threatexpert.com/repo ... bc4b48ca141a58d8ea9

【What's been found】       
Communication with a remote IRC server.       
Downloads/requests other files from Internet.       
Creates a startup registry entry.

he newly created Registry Value is:

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        Wcxaxw = "%AppData%\Wcxaxw.exe"

    here was registered attempt to establish connection with the remote host. The connection details are:

Remote Host        Port Number
199.15.234.7        80

    The data identified by the following URL was then requested from the remote web server:
        http://api.wipmania.com/       
绅博周幸
 楼主| 发表于 2011-8-26 09:54:54 | 显示全部楼层
cfans 发表于 2011-8-26 09:47
分析报告
http://www.threatexpert.com/report.aspx?md5=7936adf7630a4bc4b48ca141a58d8ea9

excellent, 谢谢你说出了真相。
hx1997
发表于 2011-8-26 10:15:24 | 显示全部楼层
本帖最后由 hx1997 于 2011-8-26 10:22 编辑

这是僵尸程序,一开始没动作也很正常嘛,不然怎么叫僵尸呢。
要等僵尸网络发出攻击指令,僵尸程序才会有所动作的,触发型的。

僵尸程序一旦侵入系统,会像木马一样隐藏自身,企图长期潜伏在受感染系统中,随时等待远程控制者的操作命令。

当Bot在被感染计算机上运行后,以一个随机的Nickname和内置密码连接到特定的IRC服务器,并加入指定的频道。攻击者随时登陆该频道,并发送认证消息,认证通过后,随即向活跃的僵尸程序(或者暂时非活跃的僵尸程序)发送控制指令。Bot读取所有发送到频道的消息或者是频道的标题,如果是已通过认证的攻击者的可识别的指令,则立即执行。

这是一个例子,但并非所有僵尸都这样。
http://www.bingdun.com/ddos/295.htm

评分

参与人数 2人气 +2 收起 理由
liulangzhecgr + 1 感谢解答: )
jefffire + 1

查看全部评分

liulangzhecgr
发表于 2011-8-26 10:28:06 | 显示全部楼层
hx1997 发表于 2011-8-26 10:15
这是僵尸程序,一开始没动作也很正常嘛,不然怎么叫僵尸呢。
要等僵尸网络发出攻击指令,僵尸程序才会有所 ...

看你这么解释,样本区下载运行的话无危险,真正的僵尸?!
hx1997
发表于 2011-8-26 10:30:10 | 显示全部楼层
liulangzhecgr 发表于 2011-8-26 10:28
看你这么解释,样本区下载运行的话无危险,真正的僵尸?!

无动作的不一定是僵尸,僵尸不一定无动作。
正好碰上一个无动作的僵尸。
剑步如飞
发表于 2011-8-26 10:31:57 | 显示全部楼层
来学习了,看来没动作不一定就不是病毒
yjwfdc
头像被屏蔽
发表于 2011-8-26 10:32:44 | 显示全部楼层
李白vs苏轼 发表于 2011-8-25 17:45
可是也不能说是病毒啊

我不是也弄了个不行为的吗

你那个是测试文件,

下面的你说得对,pe要运行还跟环境有关,没有行为只因没有符合的环境,到环境符合就有行为了.

就象以前的cih病毒,平时除了感染其它exe文件外,什么行为都没有,但一到4月26日,就会破坏bios.

连续几年的4月26日会有几十万台电脑无法开机.
liulangzhecgr
发表于 2011-8-26 10:34:37 | 显示全部楼层
hx1997 发表于 2011-8-26 10:30
无动作的不一定是僵尸,僵尸不一定无动作。
正好碰上一个无动作的僵尸。

我说的是 lz的样本!啊!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 19:35 , Processed in 0.093770 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表