给火眼上传了个文件，15分钟过去了，结果出来了 样本动作很详细啊 呵呵

hwl573452046

我擦！  这是我见过的最长的火眼分析报告了，这样本动作也太多了吧……    好牛X！！

额  帖子刚发出来，就分析好了  

额  怪不得呢   样本行为很多，分析报告很详细    不错哈    对得起我等了那么久的上传时间。。。

附上火眼报告：http://fireeye.ijinshan.com/anal ... 618&type=1#full

流星街

火眼很不錯的，可惜現在還沒有64位的火眼...

Lintel-TR

有亮点，呵呵

m220011

行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）
附加信息：kavsetups_66_65068.exesetong_1209.exe

我就知道卤煮在挖坑

hwl573452046

m220011 发表于 2013-3-22 11:07
我就知道卤煮在挖坑

额   我啥都不知道  

nelajsy

是盗号木马，额，还是建议大家下载软件不要到不正规的站点下载，只到比较出名的网站下载比较安全，比如天空华军多特绿盟

hwl573452046

nelajsy 发表于 2013-3-22 11:56
是盗号木马，额，还是建议大家下载软件不要到不正规的站点下载，只到比较出名的网站下载比较安全，比如天空 ...

不管在哪下的，都得扫描

784696777

这种样本

Lemony

nelajsy 发表于 2013-3-22 11:56
是盗号木马，额，还是建议大家下载软件不要到不正规的站点下载，只到比较出名的网站下载比较安全，比如天空 ...

华军、霏凡、天空可以，多特就算了。

李不知

m220011 发表于 2013-3-22 11:07
我就知道卤煮在挖坑

行为描述：在系统敏感位置（如开始菜单等)释放链接或快捷方式
附加信息：Start menu >> 程序\金山毒霸\卸载新毒霸.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\uni0nst.exeStart menu >> 程序\金山毒霸\在线升级.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\kislive.exeStart menu >> 程序\金山毒霸\新毒霸.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\kismain.exeStart menu >> 程序\金山毒霸\日志查看器.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\kavlog2.exeStart menu >> 程序\金山毒霸\病毒隔离系统.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\krecycle.exeStart menu >> 程序\金山毒霸\访问金山公司网站\新毒霸官方社区.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\ressrc\chs\web\kingsoft_bbs.htmStart menu >> 程序\金山毒霸\访问金山公司网站\新毒霸网站.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\ressrc\chs\web\kingsoft_duba.htmStart menu >> 程序\金山毒霸\访问金山公司网站\新霸官方微博.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\ressrc\chs\web\kingsoft_weibo.htmStart menu >> 程序\金山毒霸\访问金山公司网站\金山公司主页.lnk >> %ProgramFiles%\KingSoft\kingsoft antivirus\ressrc\chs\web\kingsoft_main.htm