似乎是过360安全卫士网购保镖的网购木马

yjwfdc

在d盘运行,在文件名后面加个1就不拦截了,确实不算特征码拦截,应该是文件名拦截.

z13667152750

yjwfdc 发表于 2011-12-13 17:09
在d盘运行,在文件名后面加个1就不拦截了,确实不算特征码拦截,应该是文件名拦截.

早就有做免杀的说过，360的行为拦截带有启发，而且还和文件名有关
文件名，释放的文件名，行为等综合启发

很另类的多部拦截

yjwfdc

z13667152750 发表于 2011-12-13 17:15
早就有做免杀的说过，360的行为拦截带有启发，而且还和文件名有关
文件名，释放的文件名，行为等综合启发 ...

病毒的真正本体stormupdate.dll 终于入库了.

完全无毒的 实物细节.exe 应该解放了吧.

z13667152750

yjwfdc 发表于 2011-12-13 17:28
病毒的真正本体stormupdate.dll 终于入库了.

完全无毒的 实物细节.exe 应该解放了吧.

7楼MJ测试时拦截的是生成的临时文件

yjwfdc

z13667152750 发表于 2011-12-13 17:34
7楼MJ测试时拦截的是生成的临时文件

这也看得出来,真是配服,我就一点都看不出来了,你是怎样看出来的呢?

大魔王

360压缩打开说安全在打开就报木马了还是很给力的

止战之殇

MJ态度出奇的好啊,怀疑是不是本人
呵呵,技术探讨是大家都愿意看到的~

yestersummer

可以肯定是MJ！

ppy0606

2011/12/13 19:22:41    创建文件夹    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011/12/13 19:22:53    创建文件    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate\StormUpdate.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011/12/13 19:23:03    修改文件    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate\StormUpdate.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011/12/13 19:23:12    创建文件    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate\MicroExamin.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011/12/13 19:23:19    创建文件    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate\version.dat
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011/12/13 19:23:27    创建文件    允许
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: C:\Program Files\StormDate\Head.bin
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011/12/13 19:23:39    修改注册表值    阻止
进程: e:\下载\idm\实拍图\双击打开\实物细节.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroExamin
值: C:\Program Files\StormDate\MicroExamin.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

hudeg632

实物细节.exe运行到修改c:\windows\system32\verifier.exe线程这一步，允许或阻止，都篮屏了，报LNS的驱动的问题。