网购木马（十三）

zhuyifan2007

我的金山直接就報毒了啊！

goodliukun

实机卡巴不报 未双击 提交。

ywsuda

wjcharles 发表于 2012-4-1 03:39
双击，NIS2012云启发，杀衍生物，进程退出

能不能绕过自动防护直接测主防

zhuyifan2007

ESET Miss。
To
http://samples.nod32.com.hk/inde ... efc54630325d9f2ae5a

ADSLgg

红伞miss，to

留侯

大蜘蛛Clean，压缩文件，文件加了壳：
介绍\D3DX81ab.dll - packed by PECOMPACT
介绍\D3DX81ab.dll is ZIP archive
已上报！

firefox3

Malwarebytes Anti-Malware (PRO) 1.60.1.1000
www.malwarebytes.org

数据库版本： v2012.03.31.08


Internet Explorer 浏览器 7.0.6002.18005
xxxxxxxxxxx :: xxxxxxxxxxx-PC [管理员]

防护: 已禁用

2012/4/1 10:08:18
mbam-log-2012-04-01 (10-08-28).txt

扫描类型: 自定义扫描
启用扫描选项: 文件系统 | 启发式/Shuriken 引擎 | PUP | PUM
禁用扫描选项: 内存 | 启动项 | 注册表 | 启发式/附加 | P2P
扫描项目: 3
扫描用时 4 秒

被感染内存进程数目： 0
(未发现有害项目）

被感染内存模块数目： 0
(未发现有害项目）

被感染注册表项数目： 0
(未发现有害项目）

被感染注册表值数目： 0
(未发现有害项目）

被感染注册表数据项数目： 0
(未发现有害项目）

被感染文件夹数目： 0
(未发现有害项目）

被感染文件数目： 1
C:\Users\xxxxxxxxxxx\Desktop\介绍\介绍.exe (Trojan.Agent) -> 没采取任何行动。

(结束)

2012/4/1 10:14:45        c:\windows\explorer.exe        创建新进程        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        允许        [应用程序]c:\windows\explorer.exe        命令行: "C:\Users\xxxxxxxxxxxx\Desktop\介绍\介绍.exe"
2012/4/1 10:14:49        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建文件夹        C:\Program Files\a        阻止        [应用程序组]『询问』病毒测试 -> [文件]*       
2012/4/1 10:15:04        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建文件 (6)        C:\xiangxi.dat        阻止        [应用程序组]『询问』病毒测试 -> [文件组]保护根目录       
2012/4/1 10:15:14        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建文件 (6)        C:\D3DX81ab.dll        阻止        [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件       
2012/4/1 10:15:24        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建文件 (6)        C:\ScreenWB.exe        阻止        [应用程序组]『询问』病毒测试 -> [文件组]秒杀写入       
2012/4/1 10:15:31        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建注册表项        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run        阻止        [应用程序组]『询问』病毒测试 -> [注册表]*       
2012/4/1 10:15:32        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        创建注册表项        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run        阻止        [应用程序组]『询问』病毒测试 -> [注册表]*       
2012/4/1 10:15:35        c:\windows\system32\werfault.exe        挂起其他进程的线程 (2)        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        阻止        [应用程序]*       
2012/4/1 10:15:40        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name        阻止        [应用程序组]『询问』病毒测试 -> [注册表]*        值: 介绍.exe
2012/4/1 10:15:58        c:\users\xxxxxxxxxxxx\desktop\介绍\介绍.exe        修改注册表值 (3)        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\HandWritingFiles        阻止        [应用程序组]『询问』病毒测试 -> [注册表]*        值: 0x4081ffff(1082261503)

ruby1098

Q管Kill

wjcharles

ywsuda 发表于 2012-4-1 08:32
能不能绕过自动防护直接测主防

杀的是衍生物，怎么绕过？

guidanba

ruby1098 发表于 2012-4-1 10:17
Q管Kill

金山云报的，已说，测主防吧