高质量 过大部分杀软扫描 卡巴360均被过扫描

noahgong

基本信息
文件名称：Label_Parcel_ID5814-45US.exe
文件哈希：2354de45bc7cdd03cedb99842db886cd
文件大小：33280字节
创建时间：2012-05-10 15:36:27
文件类型：EXE
PEID信息：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
其他行为监控
行为描述：拷贝自身到其他目录
附加信息：
%USERPROFILE%\Local Settings\Application Data\urlmon.exe
文件操作监控
操作       
新增        2354de45bc7cdd03cedb99842db886cd        33280        %USERPROFILE%\Local Settings\Appli...
进程操作监控
创建进程：无
启动参数：svchost.exe
网络监控
网络操作
【访问网址】http://aboutnorth2012.ru/smith/i ... amp;group=26.04....
【访问网址】http://bing.com/afyu/index.php?r ... 6.04.2012b&d...
【访问网址】http://fb.com/dwrgh/index.php?r= ... .04.2012b&de...
【访问网址】http://google.com/efwgh/index.ph ... 6.04.2012b&a...
【访问网址】http://twitter.com/nygul/index.p ... 26.04.2012b&...

liulangzhecgr

gkr下没有明显的行为...样本跑不动哦！

polluxkyo

TO GD

1珍惜1

虚拟机里面，双击之后，源文件消失，诺顿没反应
不知如何是好

ADSLgg

红伞miss，to

小v可

liulangzhecgr 发表于 2012-5-10 19:04
gkr下没有明显的行为...样本跑不动哦！

看看楼上的行为分析吧  是病毒 没错

a256886572008

saga3721 发表于 2012-5-10 18:45
哈哈，那还说啥正确拦截？还不如OP，OP在自动生成的svchost.exe规则下还能提示一步启动svchost.exe呢， ...

会提示  注入子进程 的 是还没改过的传统 HIPS

wjcharles

消停 发表于 2012-5-10 15:20
诺顿扫描被过

智能分析判断为不可信

实机双击sonar kill
有问题的svchost进程被挂起



完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/5/10 ( 19:43:06 )
上次使用时间 2012/5/10 ( 19:43:06 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
label_parcel_id5814-45us.exe
____________________________
文件操作
文件: c:\users\sshss\downloads\desktop (3)\label_parcel_id5814-45us.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\sshss\downloads\desktop (3)\label_parcel_id5814-45us.exe, PID:9008)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\sshss\downloads\desktop (3)\label_parcel_id5814-45us.exe, PID:9008)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

wjcharles

1珍惜1 发表于 2012-5-10 19:12
虚拟机里面，双击之后，源文件消失，诺顿没反应
不知如何是好

见38L，我这杀了
其实跟下面这个同系列的，因为是下载者，所以即使sonar被过了也没什么大问题
http://bbs.kafan.cn/thread-1278348-1-1.html

hx1997

a256886572008 发表于 2012-5-10 19:40
会提示  注入子进程 的 是还没改过的传统 HIPS

问题是它注入的是 可信的系统进程，不提示注入才有问题吧。

COMODO 在未知进程调用可信进程前都会提示“父进程能完全控制子进程的执行”。