盗号木马（十三）

显示全部楼层 · 发表于 2012-5-30 23:47:29

guidanba 发表于 2012-5-30 11:39
下载杀的回复不欢迎，金山是入了库的。

金山无需拉黑http://bbs.kafan.cn/thread-1297749-1-1.html
样本我比你拿到的早，只不过在和那个作者纠缠耽搁了时间

显示全部楼层 · 发表于 2012-5-30 23:49:52

LockeHIPS 发表于 2012-5-30 15:20
利用了云端交互1.0的一个问题，不过这个样本要中招真心不容易啊，还得再点一下那个链接。。。

上午已 ...

显示下隐藏文件，应该还有个dll

显示全部楼层 · 发表于 2012-5-31 00:11:36

jefffire 发表于 2012-5-29 22:00
沙盘运行sonar删除

我手欠，实机双击了，诺顿没反应啊= =

显示全部楼层 · 发表于 2012-5-31 00:16:17

zhym91 发表于 2012-5-31 00:11
我手欠，实机双击了，诺顿没反应啊= =

1L只是此样本的一部分，需要从同目录的jpg文件中读取一段恶意代码才会发作，46L才是完整版。
但是我也已经测试过了，诺顿无法拦截。所以如果你只运行了1L的样本，则无需担心。至于为何你的sonar不拦截残缺版样本，我也不清楚。不过诺顿在查杀和拦截，经常是不稳定。

显示全部楼层 · 发表于 2012-5-31 00:22:13

jefffire 发表于 2012-5-31 00:16
1L只是此样本的一部分，需要从同目录的jpg文件中读取一段恶意代码才会发作，46L才是完整版。
但是我也已 ...

感谢深夜解答，爬楼后知道了，下载完整包，只能从文件信誉中查看为危险，扫描不报，没实机……

显示全部楼层 · 发表于 2012-5-31 08:17:49

红伞分析结果出来了，CLEAN

显示全部楼层 · 发表于 2012-5-31 12:35:13

本帖最后由 guidanba 于 2012-6-1 08:51 编辑

编辑。

显示全部楼层 · 发表于 2012-5-31 12:42:50

00315 发表于 2012-5-30 23:47
金山无需拉黑http://bbs.kafan.cn/thread-1297749-1-1.html
样本我比你拿到的早，只不过在和那个作者纠缠 ...

早个什么啊。我的和你的不是一个类型。你的样本的修改时间是23.05.。我的是20.49.你的还需要个db文件。我的不需要。以后别这样回复了。没什么意思。

显示全部楼层 · 发表于 2012-5-31 12:43:44

00315 发表于 2012-5-30 23:47
金山无需拉黑http://bbs.kafan.cn/thread-1297749-1-1.html
样本我比你拿到的早，只不过在和那个作者纠缠 ...

我的和你的不是一个类型的。无所谓早不早。

显示全部楼层 · 发表于 2012-5-31 12:45:34

00315 发表于 2012-5-30 23:47
金山无需拉黑http://bbs.kafan.cn/thread-1297749-1-1.html
样本我比你拿到的早，只不过在和那个作者纠缠 ...

早个什么啊。我的和你的不一样。我的就两个文件。你的需要db文件。不是一个类型。

[病毒样本] 盗号木马（十三）