收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 測主防,新版 0access
1234下一页
返回列表 发新帖
楼主: a256886572008
 收起左侧

[病毒样本] 測主防,新版 0access

  [复制链接]
hx1997
发表于 2011-9-23 00:06:01 | 显示全部楼层
saga3721 发表于 2011-9-23 00:04
那你是真的中招了,在虚拟机中?

不是... 为了测试XT我还原快照了。这是另一个测试,和DW没关系。
回复

举报

wjcharles
发表于 2011-9-23 02:14:31 | 显示全部楼层
NIS012 sonar kill


完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/9/23 ( 2:11:37 )
上次使用时间 2011/9/23 ( 2:11:37 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
readme.exe
____________________________
文件操作
受感染文件: c:\users\sshss\downloads\readme\readme.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\downloads\readme\readme.exe, PID:11120)
未采取操作
____________________________
文件指纹 - SHA:
0cae26a69748f0b50840e2d2a12ab17111ec56f8882f37b038eacb6e1f00b02b
____________________________
文件指纹 - MD5:
9261025b638fd14529d4347042ad6939
____________________________
回复

举报

a256886572008
 楼主| 发表于 2011-9-23 02:34:25 | 显示全部楼层
TomBox 发表于 2011-9-22 23:40
怎么我的comodo pro版 最新病毒库 不杀呢。。灵异了

還沒入庫呢,雲端才會殺。

還有,不是 5.8,就不要測毒,會被穿破。
回复

举报

liulangzhecgr
发表于 2011-9-23 05:40:22 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-9-23 05:43 编辑

2011-9-23 05:36:48    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\readme\readme.exe
命令行: "E:\downloads\readme\readme.exe"
规则: [应用程序]*

2011-9-23 05:37:47    创建新进程    允许
进程: e:\downloads\readme\readme.exe
目标: c:\windows\system32\svchost.exe
命令行: 0000003C*
规则: [应用程序]*

2011-9-23 05:37:49    修改其他进程的内存    允许
进程: e:\downloads\readme\readme.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2011-9-23 05:37:50    修改其他进程的线程    允许
进程: e:\downloads\readme\readme.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2011-9-23 05:37:56    删除文件    允许
进程: c:\windows\system32\svchost.exe
目标: E:\downloads\readme\readme.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2011-9-23 05:37:57    删除文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2011-9-23 05:37:58    删除文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2011-9-23 05:38:09    修改注册表值    阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{e70dd653-4ef5-19d8-cc24-a24fed4f3fca}\u
值: 0x000000a9(169)
规则: [注册表]*

2011-9-23 05:38:11    修改注册表值    阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{e70dd653-4ef5-19d8-cc24-a24fed4f3fca}\cid
值: 7f 80 07 38 93 c7 16 53
规则: [注册表]*

2011-9-23 05:38:13    创建文件夹    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\$NtUninstallKB43329$
规则: [文件]*

2011-9-23 05:38:15    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\$NtUninstallKB43329$\2546213460
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2011-9-23 05:38:17    底层磁盘写操作    允许
进程: c:\windows\system32\svchost.exe
目标: \Device\HarddiskVolume1
规则: [应用程序]c:\windows\system32\svchost.exe

2011-9-23 05:38:19    创建文件夹    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\$NtUninstallKB43329$\653815878
规则: [文件]*

2011-9-23 05:38:22    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\$NtUninstallKB43329$\:SummaryInformation
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2011-9-23 05:38:23    底层磁盘写操作    允许
进程: c:\windows\system32\svchost.exe
目标: \Device\HarddiskVolume1
规则: [应用程序]c:\windows\system32\svchost.exe

2011-9-23 05:38:26    创建注册表项    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.ipsec
规则: [注册表组]安装服务和驱动 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*

2011-9-23 05:38:28    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.ipsec\Type
值: 0x00000001(1)
规则: [注册表组]安装服务和驱动 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*

2011-9-23 05:38:31    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.ipsec\Start
值: 0x00000003(3)
规则: [注册表组]安装服务和驱动 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*

2011-9-23 05:38:32    修改注册表值    允许
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.ipsec\ImagePath
值: \?
规则: [注册表组]安装服务和驱动 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*

2011-9-23 05:38:34    修改其他进程的内存    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011-9-23 05:38:37    修改其他进程的内存    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序]c:\windows\system32\svchost.exe

感染ipsec.sys文件:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
hddu + 1 赞一个!

查看全部评分

回复

举报

留侯
发表于 2011-9-23 09:31:11 | 显示全部楼层
大蜘蛛:
readme.exe infected with Trojan.DownLoader4.61242
回复

举报

倾枫锝渔♂
发表于 2011-9-23 10:58:29 | 显示全部楼层
毒霸kill


很戏剧化的是  
搜狗把链接当AD处理了
回复

举报

wuyongliang
头像被屏蔽
发表于 2011-9-23 11:51:54 | 显示全部楼层
TomBox 发表于 2011-9-22 23:40
怎么我的comodo pro版 最新病毒库 不杀呢。。灵异了

云查杀 就是运行后 毛豆云杀 不是本地杀,
回复

举报

麦兜响当当
发表于 2011-9-24 00:01:01 | 显示全部楼层
IE9下载保护KILL
回复

举报

liulangzhecgr
发表于 2011-9-30 06:51:14 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-9-30 06:52 编辑

从前天还是昨天?!到现在,这个附件不能下载... 卡饭啊!
回复

举报

dayang1717
发表于 2011-9-30 14:31:54 | 显示全部楼层
现在我只看误杀率
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-8-22 06:32 , Processed in 0.109748 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表