gbot，新 0access

rly

liulangzhecgr 发表于 2011-11-6 18:09
新的？！试一试tdsskiller 去。。。杀不了！

期待新大作面世。

zhousulin5

2011-11-6 23:36:51    创建文件夹    阻止
进程: c:\downloads\assv\assv.exe
目标: D:\UsersVar\ZhouSL\Local Settings\Application Data\89021849
规则: [应用程序]* -> [文件]*

2011-11-6 23:36:53    创建新进程    允许
进程: c:\downloads\assv\assv.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe"
规则: [应用程序]?:\*\*.exe -> [子应用程序]脚本宿主重点控制 -> [应用程序]c:\windows\system32\cmd.exe

2011-11-6 23:36:53    向其他进程复制句柄    阻止
进程: c:\downloads\assv\assv.exe
目标: c:\windows\system32\cmd.exe
句柄: (File) C:\downloads\assv\assv.exe
规则: [应用程序]?:\* -> [目标应用程序]*

2011-11-6 23:36:53    结束其他进程的线程    阻止并结束进程
进程: c:\downloads\assv\assv.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]?:\* -> [目标应用程序]c:\windows\*.exe

wjcharles

liulangzhecgr 发表于 2011-11-6 18:09
新的？！试一试tdsskiller 去。。。杀不了！

这个0access诺顿倒可以防了。。。

sonar记录：

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2011/11/6 ( 0:59:37 )
上次使用时间 2011/11/6 ( 0:59:37 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe
创建的文件:
assv.exe
____________________________
文件操作
受感染文件: c:\users\sshss\downloads\assv\assv.exe
已删除
____________________________
网络操作
事件: 网络活动 (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
事件: 已触发自动防护 (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
事件: PE 文件创建: c:\Users\ssHss\AppData\Local\Temp\installflashplayer.exe (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
事件: PE 文件创建: c:\Users\ssHss\AppData\Local\Temp\msimg32.dll (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
事件: PE 文件创建: c:\users\sshss\appdata\local\a645b3f5\x (Performed by c:\users\sshss\downloads\assv\assv.exe, PID:12168)
未采取操作
____________________________
文件指纹 - SHA:
33b22b7d2f3208b9146d4b62e2652f048b8929de127a16f874496de48ccb5135
____________________________
文件指纹 - MD5:
828b8ff69335c06769576b406bb8cb5c
____________________________


自动防护记录：

类别：已解决的安全风险
2011/11/6 1:00:48,高,x (Trojan.Zeroaccess) 检测方 自动防护,已阻止,已解决 - 不需要操作,

完整路径: c:\users\sshss\appdata\local\a645b3f5\x
____________________________
____________________________
在电脑上的创建时间 2011/11/6 ( 1:00:48 )
上次使用时间 2011/11/6 ( 1:00:48 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
____________________________
文件操作
文件: c:\users\sshss\appdata\local\a645b3f5\x
已阻止
____________________________
文件指纹 - SHA:
fcfbb4c648649f4825b66504b261f912227ba32cbaabcadf4689020a83fb201b
____________________________
文件指纹 - MD5:
686b479b0ee164cf1744a8be359ebb7d
____________________________


IPS记录：

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2011/11/6 0:59:39,高,阻止了 193.105.154.210 的入侵企图,已阻止,不需要操作,System Infected: ZeroAccess Rootkit Activity 2,不需要操作,不需要操作,"193.105.154.210, 80",lyfechzk.cn/stat2.php?w=40&i=f102614ec105614e8425722b2741477e&a=2,"-PC (210.32.., 58761)",193.105.154.210,"TCP, www-http",
2011/11/6 0:59:39,高,阻止了 193.105.154.210 的入侵企图,已阻止,不需要操作,System Infected: ZeroAccess Rootkit Activity,不需要操作,不需要操作,"193.105.154.210, 80",lyfechzk.cn/stat2.php?w=40&i=f102614ec105614e8425722b2741477e&a=2,"-PC (210.32.., 58761)",193.105.154.210,"TCP, www-http",
2011/11/6 0:59:39,信息,“入侵防护签名自动阻止”已阻止 IP 地址 193.105.154.210 的时间为 30 分钟,已检测,不需要操作,,不需要操作,不需要操作,,,,,,入侵防护

hx1997

rly 发表于 2011-11-6 11:59
某君规则试用中.........

2011-11-06 11:59:36    创建文件      操作:允许

别某君了，H兄的吧。

liulangzhecgr

rly 发表于 2011-11-6 20:48
期待新大作面世。

xt 0.43(删除病毒) +filetools（删除病毒文件夹）+windows清理助手（清理注册表） 能搞定！

不是什么新型病毒啊！

liulangzhecgr

wjcharles 发表于 2011-11-7 00:52
这个0access诺顿倒可以防了。。。

sonar记录：

防御ZeroAccess病毒嘛...很容易防的吧？！

wjcharles

liulangzhecgr 发表于 2011-11-7 07:56
防御ZeroAccess病毒嘛...很容易防的吧？！

别的杀软不知道，诺顿不容易啊，见此贴http://bbs.kafan.cn/forum.php?mo ... 6orderby%3Ddateline

liulangzhecgr

wjcharles 发表于 2011-11-7 19:02
别的杀软不知道，诺顿不容易啊，见此贴http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1117240&extra ...

人家是故意放行的啊（要靠杀软）。。。！