过所有国产杀软……包括360所谓的qvm和主防

h8888

菩提祖师 发表于 2012-3-3 13:29
针对这两个位置下手,有什么企图?

没失效之前不知道,反正现在我运行,看不出什么危害来

当然是想窃取隐私，包括密码等。

菩提祖师

h8888 发表于 2012-3-3 13:49
当然是想窃取隐私，包括密码等。

那几个注册表项目就能达到这样的目的?这个程序没有任何驻留内存(包括注入其它进程然后自身文件进程退出,都没有发现)的迹象,靠什么发送密码,隐私?
而且,那个写IE注册表的,好像还是随机写的?现在测试又没有了

2012-3-4 04:52:58    修改注册表值    允许
进程: f:\sandbox\administrator\defaultbox\user\current\桌面\xh\xh.exe
目标: HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序组]可疑程序（沙盘内） -> [注册表组]沙盘注册表

2012-3-4 04:52:58    修改注册表值    允许
进程: f:\sandbox\administrator\defaultbox\user\current\桌面\xh\xh.exe
目标: HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\user\current\software\SogouInput.user\Used
值: 0x4f5284aa(1330807978)
规则: [应用程序组]可疑程序（沙盘内） -> [注册表组]沙盘注册表

tjh0429

原帖编辑掉！

yhjtj

菩提祖师 发表于 2012-3-4 04:54
那几个注册表项目就能达到这样的目的?这个程序没有任何驻留内存(包括注入其它进程然后自身文件进程退出 ...

不知道是不是他太敏感了，还是不懂
我已经告诉他，这些键值很多正常程序都会访问，而且运行前后注册表值没什么不同。
有点不懂装懂的感觉

oiiren

这个   还是不要试了  偶有系统洁癖症 试过之后不管拦截没有都要重装下 太麻烦··

菩提祖师

yhjtj 发表于 2012-3-4 21:52
不知道是不是他太敏感了，还是不懂
我已经告诉他，这些键值很多正常程序都会访问，而且运行前后注册表值 ...

我也不懂,在我的测试环境下,测试出的行为,不足以产生任何危害

leisong

菩提祖师 发表于 2012-3-4 23:06
我也不懂,在我的测试环境下,测试出的行为,不足以产生任何危害

34F不是已经有结论了么？
这个样本有没有动作还要看云端是否关闭功能。
就目前是没动作无危害的，光修改注册表项，顶多可以破坏系统（不是这几个）

yjwfdc

是不是用组策略禁止360？

1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7A93793E-DE9C-4F0D-9D24-B71617560C71}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{14b0c1ac-7f00-4af2-a35c-c52de3d2961d}]
   
2. "LastModified"=hex(b):ec,29,f6,b1,f3,c0,cc,01
   
3. "Description"=""
   
4. "SaferFlags"=dword:00000000
   
5. "ItemData"="C:\\360\\360Safe\\safemon\\safemon.dll"

复制代码

菩提祖师

leisong 发表于 2012-3-5 08:17
34F不是已经有结论了么？
这个样本有没有动作还要看云端是否关闭功能。
就目前是没动作无危害的，光修改 ...

看云端?怎么看?没有发现联网操作,难道是随机执行和云端联系的代码?

xiaoxiao86

小a解压未报，双击未报！