Zbot

显示全部楼层 · 发表于 2012-8-8 09:58:33

ywsuda 发表于 2012-8-8 08:30
我是win7 x32 的.

你双击后看一下任务管理器或资源监视器，看看衍生物有没有释放、运行

显示全部楼层 · 发表于 2012-8-8 14:45:05

本帖最后由 XMonster 于 2012-8-8 14:51 编辑

悠柚发表于 2012-8-7 19:03
DG直接悲剧

看了下,释放了一繁衍物,注入系统进程.太明显的动作了...

G Data BB

*** 處理程式 ***

處理程式: 5140
檔案名稱: imkoo.exe
路徑: c:\users\administrator\appdata\roaming\amusu\imkoo.exe

發行商：: 未知發行商
建立日期: 06/25/12 07:04:14
變更資料: 06/25/12 07:04:14

啟動程序：: f899acebf6f888d5ac23378f6d18834c.exe
發行商：: 未知發行商

*** 動作 ***

另一程式已開啟此檔案，處理程式無法繼續。
已封裝的程式檔案，可能隱藏有惡意代碼。
程式正嘗試建立自啟動項目，以在系統啟動時自動執行。
程式變更了一個檔案的建立日期或上一次修改日期。
可執行檔案被儲存在一個可疑位置。

*** 隔離區 ***

下列檔案被移動到隔離區：
C:\Users\Administrator\AppData\LocalLow\fyics.ich
C:\Users\Administrator\AppData\Roaming\Amusu\imkoo.exe
C:\Users\Administrator\Downloads\F899ACEBF6F888D5AC23378F6D18834C\F899ACEBF6F888D5AC23378F6D18834C.exe

下列登錄檔項目被刪除：

\REGISTRY\USER\S-1-5-21-1154506578-337370437-2415690-500\Software\Microsoft\Windows\CurrentVersion\Run || {D2F81900-E973-AD41-D8CA-DFE8F20EFCF5}

YGLhifIHJycnJiYnBygn+i0nuCsnqAgpJ35ygi4nm6BykmJicpKwcuJysnKSwHKSYmJyktBycmJicnLgcpIvJ6dyggunQicqdKJiYnArJyonKiYGx3KicqJiYoAuJykmJicJuWLhicIG2XKSkC4nuGJicoILynJyLyYmJ/egLScnJiYnB5tyomJicqLAKicrJyonB41y0mJictLwJycnJiYnB2ctJycmJicHdyonCYcqJycmJicHpysdvjVmKioZxzVmKycdvjVmKgmnLid6YmJyogcA
規則版本： 3.1.1
OS: Windows 6.1 Service Pack 0.0 Build: 7600 - Workstation 32bit OS
BB Revision: 23441

"C:\Users\Administrator\AppData\Roaming\Amusu\imkoo.exe"
"C:\Users\Administrator\Downloads\F899ACEBF6F888D5AC23378F6D18834C\F899ACEBF6F888D5AC23378F6D18834C.exe"

显示全部楼层 · 发表于 2012-8-8 15:34:14

XMonster 发表于 2012-8-7 19:12
从这个样本俺有点怀疑DG了,到底是不是多步主防,这样本动作这么明显为什么没有拦截呢?真疑惑…

可能只是个云信誉的东西......

显示全部楼层 · 发表于 2012-8-8 15:40:01

悠柚发表于 2012-8-8 15:34
可能只是个云信誉的东西......

恩,估计是.而且响应很快.

显示全部楼层 · 发表于 2012-8-9 11:55:01

毒霸kiss

显示全部楼层 · 发表于 2012-8-9 15:13:09

avast报

显示全部楼层 · 发表于 2012-8-12 09:43:35

zeus

显示全部楼层 · 发表于 2012-8-13 14:58:37

gdata

显示全部楼层 · 发表于 2012-8-13 19:31:53

显示全部楼层 · 发表于 2012-8-13 20:18:07

[病毒样本] Zbot

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源