天黑路滑，样本复杂，黑白不分，万物杀呀杀 全新wgsdgsdgdsgsd出场，携带的是一个dll

darkwolf_99

不是一般的滑

以前的wgsdgsdgdsgsd，SSF（全询问）都能搞定，这个。。。。杯具了

SSF只拦了这两个，但启动项被增加，当时没被锁，重启OS被勒索

ELOHIM

MSE说这两个文件都是：Trojan:Win32/LockScreen.CO   恶意锁屏？？
类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
file:c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{24A4EC61-9FFE-4B4A-8705-1640135DA352}-wgsdgsdgdsgsd.zip
file:C:\Virus\wgsdgsdgdsgsd.zip

项目:
file:c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\LocalCopy\{EE255AA5-D363-4195-A152-256945187EB8}-dllexp.zip
file:C:\Virus\dllexp.zip

详细信息：http://www.microsoft.com/securit ... threatid=2147661226

wjcharles

zmzcy 发表于 2012-12-14 21:44
诺顿被过。。悲催锁屏

锁屏NIS悲剧已经不是一两天了，不过是在测试条件下才如此（如直接双击或手动加载dll），真实环境下（如直接进毒网）就难说了。sonar对于漏洞利用成功或者莫名其妙跑进系统运行的PE有针对性规则，比如下面这个情况，关闭ips测试主防，漏洞利用成功，但样本貌似还没来得及有动作就被杀了，可能是文件来源符合某个特殊规则
http://bbs.kafan.cn/thread-1427049-1-1.html

不单是NIS，我怀疑BD这种在真实环境下也能杀（比如杀有毒的网页文件或者主防联动，貌似测试的人还不多），要不AVC全动态测试不可能这么高

之前账号是乞丐

小红伞都web拦截了，没看到直接有人上传啊？？？！！！！


怎么个回事。

a865278

wenjian312

BD 表示已经入库

zmzcy

wjcharles 发表于 2012-12-15 02:10
锁屏NIS悲剧已经不是一两天了，不过是在测试条件下才如此（如直接双击或手动加载dll），真实环境下（如 ...

是啊，昨天特地去了一下这个毒网，发现ips可以拦截的。这说明用户在真实的环境下就与这个病毒擦肩而过。用诺顿就是用一个整体。哈哈

wjcharles

zmzcy 发表于 2012-12-15 10:02
是啊，昨天特地去了一下这个毒网，发现ips可以拦截的。这说明用户在真实的环境下就与这个病毒擦肩而过。用 ...

其实我意思是说，关了ips（模拟ips被过），本帖的情况sonar一般也能拦截，但直接双击就有可能被过

firefox3

darkwolf_99 发表于 2012-12-14 23:21
不是一般的滑

以前的wgsdgsdgdsgsd，SSF（全询问）都能搞定，这个。。。。杯具了

哈哈 你杯具了

TEACHER33

没下载，卡巴就报毒了