前天的鸽子2A8E63

promised

偶运行过再发的
死鸽子早就扔出去焚烧了

scottxzt

原帖由 promised 于 2007-7-21 00:47 发表
偶运行过再发的
死鸽子早就扔出去焚烧了

呵呵,那就上报

scottxzt

这个壳报的对不.

promised

错

The EQs

发现现在做免杀的太有才了。。。。鸽子大部分都是加壳，S168是修改特征码的

promised

这个好像加了asprotect
和acprotect
nod32都能脱
但严重怀疑被改 其实改壳比改特征码还高级，是特容易坏
现在主流是先改再加摆脱

[ 本帖最后由 promised 于 2007-7-21 01:25 编辑 ]

The EQs

对于修改的壳。。。。偶想没有几个杀软可以脱出来

蓝色牛仔裤

promised发个EQ报告上来看看。
我刚刚运行了，貌似卡巴的PDA可拦截到QQ2006这个文件，其他就不知道了。
今天卸掉了PS 。。

a256886572008

運行41.exe，發現下列行為，被EQ-Secure RC4攔截！

2007-07-21 08:26:43    创建文件      操作:允许
进程路径:D:\桌面\virus\41\41.exe
文件路径:C:\Documents and Settings\HungAndy\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\QQ2006
触发规则:黑名单->白名單->C:\Documents and Settings\HungAndy\Application Data\Sandbox\*

2007-07-21 11:36:16 修改注册表内容
操作:阻止
进程路径:C:\windows\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QQ2006
注册表名称:[Key]


2007-07-21 08:26:49    创建文件      操作:允许
进程路径:D:\桌面\virus\41\41.exe
文件路径:C:\Documents and Settings\HungAndy\Application Data\Sandbox\DefaultBox\drive\C\windows\uninstal.bat
触发规则:黑名单->白名單->C:\Documents and Settings\HungAndy\Application Data\Sandbox\*


2007-07-21 08:26:50    运行应用程序      操作:阻止
进程路径:D:\桌面\virus\41\41.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c C:\windows\uninstal.bat
触发规则:所有程序规则->系統程序->%windir%\system32\cmd.exe

1.他會在C\windows\system32\生成
   QQ2006
2.他會在C\windows\生成
   uninstal.bat
3.他會運行C:\windows\system32\cmd.exe
   /c C:\windows\uninstal.bat

uninstal.bat的結構

:try
del "D:\桌面\virus\41\41.exe"
if exist "D:\桌面\virus\41\41.exe" goto try
del %0
exit

[ 本帖最后由 promised 于 2007-7-21 11:37 编辑 ]

woai_jolin

想不到
杀鸽子大王norman居然过了