盗号木马（十二）

显示全部楼层 · 发表于 2012-5-4 18:18:18

酒醒寂寞饮小雨发表于 2012-5-4 18:16
你用HIPS 用默认设置？你以为是360呢亲

我说360了吗？你说360干什么？？

。

显示全部楼层 · 发表于 2012-5-4 18:21:32

saga3721 发表于 2012-5-4 16:21
这个太暴露了吧？上来就改Ntoskrnl内存，还自启动。这要能过Comodo的话赶紧把Comodo卸载算了

请问是用什么软件捕捉到的？

显示全部楼层 · 发表于 2012-5-4 18:31:06

本帖最后由 saga3721 于 2012-5-4 18:40 编辑

webweb 发表于 2012-5-4 18:21
请问是用什么软件捕捉到的？

就是OP防火墙的主防啊

显示全部楼层 · 发表于 2012-5-4 18:36:17

MSE4.0没反应。

显示全部楼层 · 发表于 2012-5-4 18:44:04

ososo 发表于 2012-5-4 16:02
火眼的鉴定结果，让人一目了然。。。

https://fireeye.ijinshan.com/analyse.html?md5=70fe1 ...

火融也漏了不少

显示全部楼层 · 发表于 2012-5-4 18:45:57

saga3721 发表于 2012-5-4 18:31
就是OP防火墙的主防啊

这个我认为是op描述的不对
木马只是把内存所有存在的进程全部扫描一遍并挨着发送消息而已

显示全部楼层 · 发表于 2012-5-4 18:49:16

本帖最后由 saga3721 于 2012-5-4 19:02 编辑

webweb 发表于 2012-5-4 18:45
这个我认为是op描述的不对
木马只是把内存所有存在的进程全部扫描一遍并挨着发送消息而已

也未必，可能还带有啥行为呢？没有一定级别的相应的应用软件OP不这么报

就我对OP的了解程度来看，OP属于重点防御木马外联型的主防，防破坏不是它的重点，所以对这个敏感。一般会有这个提示的是微软补丁，Flash插件此类网络相关的东西，OP防的都是能出去的组件。

显示全部楼层 · 发表于 2012-5-4 22:25:03

瑞星2012 杀掉dll

显示全部楼层 · 发表于 2012-5-5 09:08:23

双击后报毒盗qq的

显示全部楼层 · 发表于 2012-5-5 09:25:59

金山拦截

[病毒样本] 盗号木马（十二）