收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 5 / 46 freescan_2013.zip 只有 ...
123
返回列表 发新帖
楼主: firefox3
 收起左侧

[可疑文件] VT Detection ratio: 5 / 46 freescan_2013.zip 只有小红伞和BD系报

  [复制链接]
hddu
发表于 2012-12-23 13:50:12 | 显示全部楼层
2012-12-23 13:48:23    创建文件      操作:允许
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2012-12-23 13:48:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
注册表名称:Start
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-12-23 13:48:23    修改注册表内容      操作:阻止
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-23 13:48:23    修改注册表内容      操作:阻止
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-23 13:48:23    修改注册表内容      操作:阻止
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-23 13:48:23    修改注册表内容      操作:阻止
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-23 13:48:23    修改注册表内容      操作:阻止
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-23 13:48:23    运行应用程序      操作:允许
进程路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
命令行:-gav F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
触发规则:应用程序规则->程序->?:\*


2012-12-23 13:48:35    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2012-12-23 13:48:35    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
文件路径:C:\Documents and Settings\All Users\Application Data\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\Documents and Settings\*\Application Data\*


2012-12-23 13:48:35    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
文件路径:C:\Documents and Settings\Administrator\Templates\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*


2012-12-23 13:49:16    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
文件路径:F:\virus\B23E8FFB0A6A35EA\B23E8FFB0A6A35EA.exe
触发规则:所有程序规则->全局设置->?:\*.exe


2012-12-23 13:49:37    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exe
更改后:C:\WINDOWS\system32\ctfmon.exe
更改前:C:\WINDOWS\system32\CTFMON.EXE
触发规则:应用程序规则->Documents and Settings设置->?:\Documents and Settings\*->*\Software\Microsoft\Windows\CurrentVersion\Run*


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\DefaultIcon


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-23 13:49:37    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\DefaultIcon


2012-12-23 13:49:37    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command


2012-12-23 13:49:37    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-23 13:49:37    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command


2012-12-23 13:49:37    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\sib.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command


回复

举报

SK云少
发表于 2012-12-23 13:52:46 | 显示全部楼层
尘梦幽然 发表于 2012-12-23 09:23
有点走上诺顿的道路了

我觉得挺好的...智能化程度越高,才越被一般用户接受。
另外,现在NIS KIS,他们的防火墙对比,如何?
我听不少人说NIS的墙形同虚设,表面看着很智能,其实是因为全部都放行。
回复

举报

SK云少
发表于 2012-12-23 13:56:13 | 显示全部楼层
firefox3 发表于 2012-12-23 13:50
没求到你,你只管“各人自扫门前雪 ,不管他人瓦上霜”好了

嗯嗯,俺再多问一点,这么多杀软里,附带智能防火墙的,都大概怎么样?
就像诺顿区里,我看到都是说NIS的墙虽然智能,但实际上有跟没有差不多...因为不防内,只是在确认病毒木马后,阻止他们联网。那这样灰色样本很不安全吧?
回复

举报

firefox3
 楼主| 发表于 2012-12-23 13:58:16 | 显示全部楼层
SK云少 发表于 2012-12-23 13:56
嗯嗯,俺再多问一点,这么多杀软里,附带智能防火墙的,都大概怎么样?
就像诺顿区里,我看到都是说NIS的 ...


诺顿区?我什么都不知道了,我是围观的,你懂的
回复

举报

SK云少
发表于 2012-12-23 14:00:54 | 显示全部楼层
firefox3 发表于 2012-12-23 13:58
诺顿区?我什么都不知道了,我是围观的,你懂的

sao—— ga
回复

举报

firefox3
 楼主| 发表于 2012-12-23 14:06:41 | 显示全部楼层
SK云少 发表于 2012-12-23 14:00
sao—— ga

我闪了,再过一会砖就要飞过来了,兄弟保重
回复

举报

消停
头像被屏蔽
发表于 2012-12-23 14:58:30 | 显示全部楼层
SK云少 发表于 2012-12-23 13:52
我觉得挺好的...智能化程度越高,才越被一般用户接受。
另外,现在NIS KIS,他们的防火墙对比,如何?
...

对诺顿防火墙的评价基本属实!
回复

举报

SK云少
发表于 2012-12-23 15:08:29 | 显示全部楼层
消停 发表于 2012-12-23 14:58
对诺顿防火墙的评价基本属实!

嗯,但是如果防火墙问的多了,虽然会安全一些,但是对一般用户的体验会造成很严重的影响。
好的电脑使用习惯,遇到灰色文件的机会很少很少,为了那极低的几率,不值得。
嘿嘿,LZ刚也是怕一些诺顿粉丝不愿意正视这一点点缺点,呵呵,不过也不能算缺点。
说起来,国产杀软的免费化,让国内电脑使用环境安全了不少,国外杀软也慢慢被很多小白认识咯。
以前朋友电脑隔三差五的中毒,现在基本很少听到咯,也不知道是不是因为现在都转做木马而不去破坏了?
回复

举报

消停
头像被屏蔽
发表于 2012-12-23 15:12:17 | 显示全部楼层
SK云少 发表于 2012-12-23 15:08
嗯,但是如果防火墙问的多了,虽然会安全一些,但是对一般用户的体验会造成很严重的影响。
好的电脑使用 ...

问题是诺顿不是做不好防火墙,而是不愿意去做!高危险的程序联网也一律放行,改成阻止或询问不难,毕竟普通用户遇到高危的机会不多!
回复

举报

尘梦幽然
发表于 2012-12-23 15:32:22 | 显示全部楼层

RE: VT Detection ratio: 5 / 46 freescan_2013.zip 只有小红伞和BD系报

SK云少 发表于 2012-12-23 13:52
我觉得挺好的...智能化程度越高,才越被一般用户接受。
另外,现在NIS KIS,他们的防火墙对比,如何?
...

这就是智能规则的坏处。诺顿墙的程序行为分析现在基本集中到SONAR上去了,所以墙本身看不出有什么本地拦截能力。
关于反攻击规则还是有更新的
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 15:50 , Processed in 0.099869 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表