微点双击测试。。。。。。直播中。。。。。（八）。。。

wqcaokeyinwq

火绒测试。。。。。。。。。。。。。。。移步http://bbs.kafan.cn/thread-1494758-1-1.html



时间。。。2013.3.11号。。。。。。。。。。。


环境。。。。。XP。。。32位.。。。冰点还原。。。



软件。。。。。。。。。微点主防。。。。。。。。病毒库。。。。。3.1.。。。








病毒库截图。。。。。。。。






样本如图。。。。。样本来源。。卡饭日包随机选取。。。感谢毒组的辛苦劳作。。。。。。。






双击时间。。。。8点整。。。


欢迎围观。。。。。

shmily512099

围观！！！

wqcaokeyinwq

直播楼层。。。。欢迎围观。。。。




双击1.exe。。。。。。


此样本微点入库解压就秒了。。。。






个人点评。。由于此样本被1号病毒库的微点秒掉了。。。稍后将删除微点病毒库。再战1.exe。。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击2.exer。。。




双击后。。。主防秒。。。。。。




个人点评。。此样本双击后。。主防没有犹豫立刻秒杀。。并将母体回滚。。。足见其行为之裸露和猖狂。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击3.exe。。。。



双击后。。防火墙拦截。。。拒绝后。。程序驻留内存。。等2分后。。手动结束。。。


再次双击。。防火墙拦截。。。放行后。。。开始下载。。之后弹出安装界面。。。。手动结束。。






个人点评、、目测双击后的界面应该是要联网下载数据。。。放行后。。下载大约200多K的数据后，。弹出一个安装界面。。。再次目测。。应该是无毒的。。。。。这个应该是白样本。。。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击4.exe。。。


双击后。。。自动退出。。。。


个人点评。。。可能机器缺少样本运行的环境。。。。自动退出了。。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击5.exe。。。


双击后。。。主防秒杀衍生物。。。母体退出。。。




个人点评。。此样本应该是捆绑类。。。母体运行之后释放的衍生物是木马。。微点已经入库。。。衍生物还来不及有什么行为。。就被秒杀了。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击6.exe。。。


双击后。。。母体生成众多衍生物。。。。衍生物们不断的启动。。退出。。。随后。。。防火墙报警。。。。拒绝后。。。母体退出。。。只留一个衍生物驻留内存。。。等5分后。。手动结束。。。。


再次双击。。。。。。母体死活都是自动退出。。。。





个人点评。。此样本行为众多。。。但不知缘何都是自动退出。。。在衍生物不断变化时。。母体有外联行为。。。
拒绝母体联网后。。。再次运行该样本。。母体怎么都是自动退出。。。个人认为。。这应该是个木马。。但主防没有报警。。。。上报微点。。。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击7.exe。。。。


双击后。。。程序秒退。。。


个人点评。。此样本缺少环境。。无法运行。。。。



。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。



双击8.exe。。。


双击后。。弹出错误。。




个人点评。、。看错误弹框应该是一个安装文件包。。。。机器缺少相应的环境而无法运行。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击9.exe。。。


双击后。防火墙拦截。。拒绝后。。程序驻留内存。。等2分后。。手动结束。。


再次双击。。防火墙拦截。。放行后。。。程序仍驻留内存。。。等2分后。。手动结束。。




个人点评。。。。此样本无论放行或者拒绝都是驻留在内存中。。。通过微点监控。。没有后台数据流量。。。也无其他行为。。。。难道是远控类。。黑客不在？？？？


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


双击10.exe。。。。


双击后。。微点秒杀衍生物。。。。母体是一个通讯簿。。。。衍生物杀掉后。正常关闭。。








个人点评。。。此样本应该是捆绑类。。。母体伪装成WORD文件。。运行后。。释放衍生物（微点已经入库衍生物）。杀掉衍生物后。。母体通讯簿正常打开。。。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。


测试完毕。。。欢迎围观。。。。。。。


删除微点病毒库后。。再次双击1.exe。。。程序自动退出。。





个人点评。。。样本调用了CMD。。。但母体和CMD均是自动退出。。。。样本在当前的系统环境下无法运行但不代表他没有危害。。。。就好比DLL文件是不是有毒一个道理。。

damao1989

win7卡ie9已卸载微点的来坐等

wqcaokeyinwq

damao1989 发表于 2013-3-11 19:35
win7卡ie9已卸载微点的来坐等

哦。。。IE9据说对网银支持不太利索。。。

我笔记本用的还是IE8..很流畅。。。。


建议重新卸载微点再次安装试试。。

damao1989

wqcaokeyinwq 发表于 2013-3-11 19:41
哦。。。IE9据说对网银支持不太利索。。。

我笔记本用的还是IE8..很流畅。。。。

不会啊，用的邮政的网银很好，其实，据说这种东西，不一定靠谱的

我这卡ie9简直出鬼了
开机后使用没有问题
随着使用时间变长，ie9打开和显示越来越慢，昨天用了3小时，ie9得花半分钟才能打开

wqcaokeyinwq

damao1989 发表于 2013-3-11 19:45
不会啊，用的邮政的网银很好，其实，据说这种东西，不一定靠谱的

我这卡ie9简直出鬼了

哦。。。IE9如果用的不太舒服的话。。。可以考虑先安装微点。。然后再装IE9..


另外你的机器还有没有别的可能影响的因素啊。。。也许不是微点的原因呢。。


还有。我用的工商网银。。。


没听说微点还卡IE浏览器啊。。。。这个比较少见。。

真小读者

支持测试。
用IE9比较少，没注意。不过用IE 9确实感觉要比傲游慢点

zhuotao

围观微点发威

a445441

来晚了 直播结束了