疑似盗号木马（过大多杀软，请勿实机运行）

vardyh

陈识宇 发表于 2013-3-9 21:26
这一点，他应该完善一点——先建个文件夹！

后面还被其他启发逻辑报毒呢，我测的时候是一路放过的

alphaqd

Bitdefender blocked this page
The page you are trying to access contains Trojan.Spy.Agent.OHW.

mengld

vardyh 发表于 2013-3-9 21:28
后面还被其他启发逻辑报毒呢，我测的时候是一路放过的

我测试时候就系统加固点报了~~~~用剑看了一下，已经成功运行了
未知病毒拦截咋没见到？难道是远控不在线？

沉默游侠

vm001 发表于 2013-3-9 20:58
我真的没吓唬你

我这里确实被远控了

查看下启动项把原文件结束，在删除就行了。

x_3max

wqcaokeyinwq 发表于 2013-3-9 19:05
嗯。。。我运行的时候那个作者还在。。

我还和聊了几句。。。。

果断去围观！

vm001

vardyh 发表于 2013-3-9 21:28
后面还被其他启发逻辑报毒呢，我测的时候是一路放过的

其实复制exe这步你们应该只记录不该报出，如果这样都报的话，可以让火绒出现无数次的误报

不过总体讲，火绒有改进

vardyh

vm001 发表于 2013-3-9 22:00
其实复制exe这步你们应该只记录不该报出，如果这样都报的话，可以让火绒出现无数次的误报

不过总体讲， ...

每个分析单元的逻辑不同，
在一些分析单元中，是记录，然后继续攒行为，
有些是根据释放位置的可疑程度报，
另外像自复制这种非常容易误报的，只有高级才报，

傻猪猪米走鸡

eset果断被miss了

hljhxj2006

dongwenqi 发表于 2013-3-9 20:54
你病毒库正常么

正常啊，病毒库刚更新没多久

hddu

2013-03-09 22:26:36    创建文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\Program Files\BaoFeng
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2013-03-09 22:26:36    创建文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\Program Files\BaoFeng\StormPlayer.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll


2013-03-09 22:26:47    创建文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\Program Files\BaoFeng\StormPlayer.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe


2013-03-09 22:26:49    运行应用程序      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen F:\virus\价格表1.00(1)\价格表1.00\xxx.bmp
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe


2013-03-09 22:26:49    创建文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\Program Files\Win6169250.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2013-03-09 22:26:49    创建文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:C:\Program Files\Win6169250.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2013-03-09 22:26:51    删除文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
触发规则:应用程序规则->其它文件设置(三）->F:\*->F:\*.exe


2013-03-09 22:26:53    删除文件      操作:允许
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
文件路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
触发规则:应用程序规则->其它文件设置(三）->F:\*->F:\*.exe


2013-03-09 22:29:54    创建注册表值      操作:阻止 （spy.exe自删除了，还有这一步动作？莫非....）
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Default]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


2013-03-09 22:34:15    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:15    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:15    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:15    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:15    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:16    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:16    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:16    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:24    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:25    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:30    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


2013-03-09 22:34:30    模拟键盘鼠标      操作:阻止
进程路径:F:\virus\价格表1.00(1)\价格表1.00\spy.exe

触发规则:所有程序规则->*


阻止创建启动项及模拟键盘鼠标，spy.exe自动退出，害怕，会不会远控退出的？
今晚不得安宁，后悔之极，双手猛力痛打乳房，惩罚自己。