质量不错，网购马

蓝天二号

Palkia 发表于 2012-2-14 11:33
反沙箱的，入沙会自动退出，签名也是正常的，有问题的是那个dll。

那个DLL是怎么运行的。。不过那个 实物图倒是创建了一个进程。。可以手动结束，，没什么异常~~

Palkia

蓝天二号 发表于 2012-2-14 11:35
那个DLL是怎么运行的。。不过那个 实物图倒是创建了一个进程。。可以手动结束，，没什么异常~~

你实机运行的话就可以看到感染了。

Palkia

蓝天二号 发表于 2012-2-14 11:35
那个DLL是怎么运行的。。不过那个 实物图倒是创建了一个进程。。可以手动结束，，没什么异常~~

http://bbs.kafan.cn/thread-1223288-1-1.html

蓝天二号

Palkia 发表于 2012-2-14 11:37
http://bbs.kafan.cn/thread-1223288-1-1.html

幸好我在毛豆沙箱里运行。。

tgzw1680

很好，这个漏洞应用越来越复杂了，这应该是最开始的暴风签名漏洞，签名的exe调用恶意dll，然后进行非法活动，现在提高复杂程度了，不是签名程序本身去做坏事，还启用另外一个签名程序notepad.exe来进行非法活动，进一步隐藏自己。这个病毒不是感染类型的，所以双击党可以放心测试，这个是属于木马盗号，不停地获取每个窗口的text信息。完美过了360，也完美过了默认卡巴设置，幸亏我是喜欢自己定规则而且是互动模式，完美防御了注册表自启动和调用notepad.exe。。。。程序不错，就是分开了，要是单文件就完美了，不过单文件估计杀软拦截率就高很多了，毕竟动作要复杂一些了

追影子的十三

tgzw1680 发表于 2012-2-14 11:44
很好，这个漏洞应用越来越复杂了，这应该是最开始的暴风签名漏洞，签名的exe调用恶意dll，然后进行非法活动 ...

毛豆默认设置防不住吗？

AIRSHAPE

daixiaoran 发表于 2012-2-14 11:57
毛豆默认设置防不住吗？

疯狂模式会弹窗 我的安全模式没反应

七彩俊园

卡巴斯基回复：
您好，

Haozip.dll,
Haozip.dll - Trojan-PSW.Win32.Alipay.qt

以上文件包含恶意代码，下次更新后即可查杀。感谢您的上报。

haozipp.dat,
haozipp.dat,
╩╡╬∩═╝.exe,
╩╡╬∩═╝.exe

以上文件不包含恶意代码。

卡巴斯基中国病毒实验室

中文主页：http://www.kaspersky.com.cn
病毒上报邮箱：viruslab@kaspersky.com.cn
技术支持邮箱：support@kaspersky.com.cn

现在可以杀 Haozip.dll        检测到威胁: Trojan-PSW.Win32.Alipay.qt        2012-2-14 21:43:10       

lbb9432

Thank you for your email.

The analysis of the files has been completed with the following results:

- exe is clean
- haozipp_dat is garbage
- haozip_dll has been signed as Trojan.Dropper.Agent.VGX; this detection will
be available after our next update.

File exe declared CLEAN
File haozipp_dat declared IGNORE
File haozip_dll declared INFECTED

Please do not hesitate to send us even more suspect/infected files in the
future.

Have a nice day.

Best regards,
George Poienaru
Bitdefender Technical Support Engineer
-------------------------------------
http://www.bitdefender.com/help
https://myaccount.bitdefender.com
-------------------------------------
Use Quick Scan: http://quickscan.bitdefender.com



BD应该可以杀了  BG还不报

xwhmm

fscs 杀