精睿9.4运行20个测K+3.0

显示全部楼层 · 发表于 2012-9-5 18:25:52

本帖最后由 footman 于 2012-9-5 18:56 编辑

精睿9.4的样本里前20个样本运行来测K+3.0，结果20个样本很坑。。

地址只能在样本区发

20120904[0].vc52
MD5:4B226BA2AF4237E052F14F4657FE5F90

感染文件

20120904[1].vc52
Md5:4C1D53278B8C869128F8B3B6FEE3874D
只有这个行为
2012-9-5 16:51:25 安装全局消息钩子允许
进程: d:\20120904[1].exe
目标: c:\windows\system32\dinput.dll
钩子类型: WH_MOUSE_LL
规则: [应用程序]*
安装dinput.dll全局钩子，这个是系统的dll，木有发现其他行为，好像木有触发大师兄的拦截。

20120904[2].vc52
MD5:0AB5F1E2C0AC07D47996EA39FFF17811

20120904[3].vc52
MD5:0AEB9EC297A454005B2C99042E86EB18

阻止后提示

然后就没有行为了

20120904[4].vc52
MD5:00B592AE4B1E72523A2D31BB3737A136
木有什么行为。附火眼报告
http://fireeye.ijinshan.com/anal ... 2523A2D31BB3737A136

20120904[5].vc52
MD5:0C7618B54D8BB7E308D4BA981F6419EE
我虚拟机没有跑到行为。附火眼报告
http://fireeye.ijinshan.com/anal ... 7E308D4BA981F6419EE

20120904[6].vc52
MD5：0CFDC56BBD9E3BD56D6DDDEB08E0BE02
同上
http://fireeye.ijinshan.com/anal ... BD56D6DDDEB08E0BE02

20120904[7].vc52
MD5：0D6F09201012257F6E2FAB4CAB287D41
同上
http://fireeye.ijinshan.com/anal ... 57F6E2FAB4CAB287D41

20120904[8].vc52
MD5：0D4191CB4EF5EF94CD2713E67CA6F56A
同上
http://fireeye.ijinshan.com/anal ... F94CD2713E67CA6F56A

20120904[9].vc52
MD5：0E7FDF717105DE9AD1B2555DCA553442
同上
http://fireeye.ijinshan.com/anal ... E9AD1B2555DCA553442

中间插句，吐槽一下。这样本真的很坑。。。

20120904[10].vc52
MD5:0F165C8F0A176265D3E61B38323F71D0
本人虚拟机跑不出什么行为。附火眼报告
http://fireeye.ijinshan.com/anal ... 323f71d0&type=1

20120904[11].vc52
MD5:1AF722819E531F0D38088763C40AE720
一个联网操作后就没有行为了。附火眼报告:
http://fireeye.ijinshan.com/anal ... F0D38088763C40AE720

20120904[12].vc52
MD5:1CAF0AF63C9AC2F3EC8F9458AAAE9143
没行为.....
http://fireeye.ijinshan.com/anal ... 2F3EC8F9458AAAE9143

20120904[13].vc52
MD5：1CD5508C844E3992391B22A946C752E6
看火眼分析报告后放弃运行....
http://fireeye.ijinshan.com/anal ... 992391B22A946C752E6

20120904[14].vc52
MD5：01CE2696FB47083835645A38A7B870E2
终于有个能在我虚拟机里跑出行为的了..

在windows下释放一些exe，然后弄个启动项。阻止后就没行为了。释放的exe也被毒霸防御直接删掉了。

20120904[15].vc52
MD5:2A26EF6BE3DEFE9BFAAF307B8C5607B1
看火眼分析报告后，不运行了...
http://fireeye.ijinshan.com/anal ... E9BFAAF307B8C5607B1

20120904[16].vc52
MD5：2A7159E744818F13A859F546EA82321C
看火眼分析后，不想运行了。又是一个没有行为的
http://fireeye.ijinshan.com/anal ... F13A859F546EA82321C

20120904[17].vc52
MD5：2AD1E80F72D06EA88654CC69265F9E48
两个联网操作，然后就没有行为了。
http://fireeye.ijinshan.com/anal ... EA88654CC69265F9E48

20120904[18].vc52
MD5：2BA214BAF8FF950399165C14CC4E8C18
不想运行，原因也不想打了.....
http://fireeye.ijinshan.com/anal ... 50399165C14CC4E8C18

20120904[19].vc52
MD5:2BF656905E984B324515D179874B7203

20120904[20].vc52
MD5:2DF03FADF4B0879EBA73A0244BDDE0A3
没行为
http://fireeye.ijinshan.com/anal ... 79eba73a0244bdde0a3

从上面这些来看，防御还是都防住了的。

本来还想在测测的。跑了20个，样本还是这样，就放弃了。。

显示全部楼层 · 发表于 2012-9-5 18:29:32

精睿的样本质量。我只能呵呵了。

显示全部楼层 · 发表于 2012-9-5 18:30:02

质量太差

显示全部楼层 · 发表于 2012-9-5 18:32:16

32位，悟空进步很大

显示全部楼层 · 发表于 2012-9-5 18:36:23

无所谓，只要用着顺手即可。

显示全部楼层 · 发表于 2012-9-5 18:51:43

难道金山今年招了什么大神？让悟空进步这么快

显示全部楼层 · 发表于 2012-9-5 19:01:49

sugerkevin 发表于 2012-9-5 18:51
难道金山今年招了什么大神？让悟空进步这么快

求八卦

显示全部楼层 · 发表于 2012-9-5 19:04:58

julia跺跺发表于 2012-9-5 18:29
精睿的样本质量。我只能呵呵了。

今天算是见识到了。。。

只能用来右键扫描了...

显示全部楼层 · 发表于 2012-9-5 19:13:26

sugerkevin 发表于 2012-9-5 18:51
难道金山今年招了什么大神？让悟空进步这么快

技术储备而已。不一定要招大神来改进。又不是数字~

显示全部楼层 · 发表于 2012-9-5 19:27:24

sugerkevin 发表于 2012-9-5 18:51
难道金山今年招了什么大神？让悟空进步这么快

封闭开发100 天，全新架构。

[金山] 精睿9.4运行20个测K+3.0

本帖子中包含更多资源

评分