乱七八糟测试第四帖（金山vsxxoo1）（金山小败，数字求虐啊）

qq592019174

测试第四帖子老规矩
1.测试环境
windows xpsp3
内存 512mb
网络环境 可连接
硬盘 8gb

病毒样本
  貌似是个木马（不太清楚）
mse不报
avast报
卡巴启发爆
隔壁数字报

  

金山先升级到最新版本

  


1.扫描测试
  

测试安全
防御成功   


2.解压单击测试（开云）

一解压
  
成功

3关闭云
拦截

貌似是k+拦截
云没报k+拦截下面是值得毒霸改进的
本帖隐藏的内容

4 我最看重的
先中毒，在使用毒霸
用md看看行为
2012-4-21 21:37:12        c:\windows\system32\mshta.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup        值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
2012-4-21 21:37:12        c:\windows\system32\mshta.exe        修改注册表值        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup        允许        [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup        值: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
2012-4-21 21:37:13        c:\windows\system32\mshta.exe        创建新进程        c:\windows\system32\mshta.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\mshta.exe" "C:\Documents and Settings\All Users\Application Data\csdat\X5A59XVV.h"这个是干嘛的呀
2012-4-21 21:37:15        c:\windows\system32\mshta.exe        访问网络        UDP [本机 : 1148] ->  [127.0.0.1 : 1148]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2012-4-21 21:37:16        c:\windows\system32\mshta.exe        访问网络        TCP [本机 : 1149] ->  [50.23.111.254 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2012-4-21 21:37:17        c:\windows\system32\mshta.exe        创建文件        C:\Documents and Settings\All Users\Application Data\csdat\d.bat        允许        [文件组]所有执行文件 -> [文件]*; *.bat        
2012-4-21 21:37:17        c:\windows\system32\mshta.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: cmd /c ""C:\Documents and Settings\All Users\Application Data\csdat\d.bat" "
2012-4-21 21:37:18        c:\windows\system32\cmd.exe        创建新进程        c:\windows\system32\conime.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\conime.exe
2012-4-21 21:37:18        c:\windows\system32\cmd.exe        创建新进程        c:\windows\system32\ping.exe        允许        [应用程序]*        命令行: ping -n 5 localhost
2012-4-21 21:37:22        c:\windows\system32\cmd.exe        删除文件        C:\Documents and Settings\All Users\Application Data\csdat\d.bat        允许        [文件组]所有执行文件 -> [文件]*; *.bat        



然后，我使用毒霸扫描


扫描安全。。。。。。。。。。。。。。。。。。

望改进
病毒样本上传了
  

qwe12301

HTA原本就是HTML的脚本文件，属于非PE文件。金山对PE文件检测能力极差，
所以理解一下所谓的安全其实是“未知“（扫描模式没有未知一说）

你这样本似乎没有实际的恶意行为嚒。
看起来疑似启动项、异常项都没有啊（除那创建快捷方式之外）

谢新

呵呵，从楼主提供的行为看的确没什么有害行为，楼主可以找些恶性感染性的来测主防或者断网病毒，金山这方面还不够好，需要大家的鞭策啊，样本可以去学校等地方抓取哈 ps楼主两边同步更新啊  就是在毒霸论坛要回复才能看，不厚道啊！

hdy0775

很好，楼主加油。。。

qq592019174

qwe12301 发表于 2012-4-21 22:22
HTA原本就是HTML的脚本文件，属于非PE文件。金山对PE文件检测能力极差，
所以理解一下所谓的安全其实是“未 ...

"C:\WINDOWS\system32\mshta.exe" "C:\Documents and Settings\All Users\Application Data\csdat\X5A59XVV.h"这个是干嘛的呀
这个是病毒的启动项，
后面的.h是一个 网页脚本，内含病毒代码，利用前面的mshta.exe进行加载执行。
你确认一键云查杀没有扫描到么？

qq592019174

谢新 发表于 2012-4-21 22:40
呵呵，从楼主提供的行为看的确没什么有害行为，楼主可以找些恶性感染性的来测主防或者断网病毒，金山这方面 ...

这边要是有权限用hide代码，我也会设置的

qq592019174

hdy0775 发表于 2012-4-21 22:58
很好，楼主加油。。。

好的

qq592019174

谢新 发表于 2012-4-21 22:40
呵呵，从楼主提供的行为看的确没什么有害行为，楼主可以找些恶性感染性的来测主防或者断网病毒，金山这方面 ...

金山官人说这是木马
还问了下确定我是不是云扫描

lh920215

楼主虚拟机全盘就8g？还是只是系统盘
虚拟机里装的win7  想装个xp 对系统大小有点模糊  望告知

qq592019174

lh920215 发表于 2012-4-21 23:49 楼主虚拟机全盘就8g？还是只是系统盘 虚拟机里装的win7 想装个xp 对系统大小有点模糊 望告知

xp 25g
win7 40g
我这个可能有些问题
http://bbs.duba.net/forum.php?mod=viewthread&tid=22688289&mobile=yes
你看下这个吧，有我的系统，愿意的话就下吧