样本（更新）（有沙盘、影子的童靴，请关闭web 黑名单再进毒网，慎重！）

hansyu

Win8 下不是有效的Win32程序。

firefox3

hansyu 发表于 2012-12-4 13:14
Win8 下不是有效的Win32程序。

再看一楼，会有心动的感觉哦

firefox3

消停 发表于 2012-12-4 12:56
诺顿扫描miss

再看一楼，双击什么的已经out了直接进毒网，看看诺顿能捍卫sonar尊严不

will

firefox3 发表于 2012-12-4 13:12
想运行的话，我可以把毒网地址给你，直接进毒网看comodo的拦截记录就知道很爽的

不是网址的问题，就是这个exe无法运行在开启了UAC的WIN8下

附火眼分析报告：
http://fireeye.ijinshan.com/anal ... d78&type=1#full

firefox3

will 发表于 2012-12-4 13:20
不是网址的问题，就是这个exe无法运行在开启了UAC的WIN8下

附火眼分析报告：

看六楼记录，我直接进毒网，那个样本进到本地，一系列的动作，至于提取之后为什么会成这样，俺小白不明白

will

firefox3 发表于 2012-12-4 13:21
看六楼记录，我直接进毒网，那个样本进到本地，一系列的动作，至于提取之后为什么会成这样，俺小白不明白

梯子搭好了  - -,   
BD云了  - -,

firefox3

will 发表于 2012-12-4 13:24
梯子搭好了  - -,   
BD云了  - -,

谁手这么快，好简单的拦截，都没说明拦截到什么，看来是黑名单

关闭bd插件，试试AVC嘛

jayavira

的确不是可执行文件
DLL文件

katatlove

norton 360 打开毒网
类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2012-12-4 13:29:47,高,阻止了 attack.piratearpsp.info 的入侵企图,已阻止,不需要操作,Attack: Microsoft Windows True Type Font CVE-2011-3402,不需要操作,不需要操作,"attack.piratearpsp.info (193.0.179.25, 80)",attack.piratearpsp.info/r/32size_font.eot,"ALUMBUS-B8FA8C7 (192.168.1.4, 1448)",193.0.179.25 (193.0.179.25),"TCP, www-http"
来自 <b>attack.piratearpsp.info/r/32size_font.eot</b> 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME1\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 引起。  要停止接收有关此类通信的通知，请在<b>“操作”</b>面板中单击<b>“不再提醒我”</b>。

firefox3

jayavira 发表于 2012-12-4 13:29
的确不是可执行文件
DLL文件

求Panda进毒网PK一下启发和云