高质量，多引擎只有5家报，附救援区链接

GiBson

zhou0197 发表于 2012-6-5 15:40
我就是虚拟机跑，和楼上一样，无人发现恶意行为（不知道要什么触发条件）。

你要不要也用winhex看一看？里面还有一些类似源代码的东东，我没截图上来（我上传到毒霸论坛的样本区了，看下官人的反应先http://bbs.duba.net/forum.php?mo ... 22718248&extra=）

mengld

17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' image_base:0x00400000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' image_base:0x00400000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:0,        3700,        EXEC_module_load,        C:\WINDOWS\system32\guard32.dll,        base:0x10000000 size:0x0004D000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' image_base:0x00400000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:0,        3700,        EXEC_module_load,        C:\WINDOWS\system32\guard32.dll,        base:0x10000000 size:0x0004D000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:3696,        3700,        FILE_open,        C:\WINDOWS\system32\fltlib.dll,        access:0x00100020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' image_base:0x00400000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:0,        3700,        EXEC_module_load,        C:\WINDOWS\system32\guard32.dll,        base:0x10000000 size:0x0004D000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:3696,        3700,        FILE_open,        C:\WINDOWS\system32\fltlib.dll,        access:0x00100020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:3696,        3700,        SYS_opendev,        \FileSystem\Filters\FltMgrMsg,        devtype:64 access:0x00100003 share:0x00000000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' image_base:0x00400000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:0,        3700,        EXEC_module_load,        C:\WINDOWS\system32\guard32.dll,        base:0x10000000 size:0x0004D000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:3696,        3700,        FILE_open,        C:\WINDOWS\system32\fltlib.dll,        access:0x00100020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
17:32:36:213,        mstscccc.exe,        3700:3696,        3700,        SYS_opendev,        \FileSystem\Filters\FltMgrMsg,        devtype:64 access:0x00100003 share:0x00000000 ,        0x00000000 [操作成功完成。  ],       
17:32:36:229,        mstscccc.exe,        3700:0,        3700,        EXEC_destroy,        C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe,        parent_pid:3560 cmdline:'"C:\Documents and Settings\Administrator\桌面\新建文件夹 (2)\mstscccc.exe"' ,        0x00000000 [操作成功完成。  ],       



。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


说实话，是在不知道他在干嘛

XywCloud

超大文件是个逃避杀软云查杀的好办法……

GiBson

mengld 发表于 2012-6-5 17:34
17:32:36:042,        mstscccc.exe,        3700:0,        3700,        EXEC_create,        C:\Documents and Settings\Administrator\桌面\ ...

我虚拟机双击它没反应，comodo在线沙盘也检测不到任何行为

XywCloud

刚刚我一不小心直接双击了...
1.金山在扫描的时候有反应，双击却木有反应了呢。
2.双击完后不久，文件自动消失
3.然后看了那图后，我用powertool查看了hosts表，居然被清空了。那里面添加的网站也可以正常打开。
4.在金山沙箱内尝试运行，金山沙箱提示不支持。
5.金山的系统修复也没有异常。
6.使用exe文件头检测工具，查出了7个可执行文件头。
7.超级巡警的文件分析工具分析结果如图：

zhou0197

XywCloud 发表于 2012-6-5 20:34
刚刚我一不小心直接双击了...
1.金山在扫描的时候有反应，双击却木有反应了呢。
2.双击完后不久，文件自动 ...

用PT查看：
C:\WINDOWS\system32\drivers\stacsv.sys
C:\Program Files\Common Files\Microsoft Shared\bte\bte\mstscccc.exe

这两个文件是否存在？？

XywCloud

zhou0197 发表于 2012-6-5 20:38
用PT查看：
C:\WINDOWS\system32\drivers\stacsv.sys
C:\Program Files\Common Files\Microsoft Shared ...

这两个文件均未发现！
在使用powertool查看C:\WINDOWS\system32\drivers\文件夹时，powertool崩溃。我是使用xuetr查看的。

XywCloud

zhou0197 发表于 2012-6-5 20:38
用PT查看：
C:\WINDOWS\system32\drivers\stacsv.sys
C:\Program Files\Common Files\Microsoft Shared ...

我怀疑之前看的那个火眼结果...
如果这玩意找到了那些杀软的进程，可能就不会执行操作了。

zhou0197

XywCloud 发表于 2012-6-5 20:43
我怀疑之前看的那个火眼结果...
如果这玩意找到了那些杀软的进程，可能就不会执行操作了。

关键问题是，我们不知道它检测到这些进程之后是要干嘛？隐藏或者试图干掉？

XywCloud

zhou0197 发表于 2012-6-5 20:47
关键问题是，我们不知道它检测到这些进程之后是要干嘛？隐藏或者试图干掉？

现在我是不敢实机测试了...要想测试的话，直接在运行后把杀软进程通通关掉，然后看看能不能在打开就能证明你的猜想了呢...