两个白加黑锁屏！主要针对BD系，FS2014率先阵亡！

klinxun

245867683 发表于 2013-5-30 12:37
MSE没主防，入库了

MSE没主防，但有看双击是否报读这回事。

烟花雨

小红伞宣布挂
正在启动文件扫描：

开始在“F:\Software\白加黑.zip”中扫描


扫描结束时间： 2013年5月30日 星期四  23:13
已用时间: 00:00 分钟

扫描完毕。

      0 已扫描目录
      1 已扫描文件
      0 发现病毒和/或恶意程序
      0 文件被划定为可疑
      0 个文件已删除
      0 病毒和恶意程序已修复
      0 文件已移到隔离区
      0 文件已重命名
      0 无法扫描的文件
      1 不关心的文件
      0 存档已扫描
      0 警告
      0 说明

netvox

我怎么下载不了

a22271001

4号样本双击，半小时后，进入衍生物BG6ZJM.DAT的文件夹，微点报毒
木马名称：Trojan.Win32.Generic.ov

程序：
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\BG6ZJM.DAT
是木马程序!

请选择处理方式!

三号样本一楼上报已入库
木马名称：Trojan.Win32.Generic.ot

程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\白加黑锁屏3\ENLPU32.DLL
是木马程序!

请选择处理方式!

huihui458

报了

小飞侠.net

文件名: D:\360安全浏览器下载\白加黑.zip
文件大小: 366768 字节 (358.17 KB)
修改日期: 2013-06-01 21:19
MD5: ced63857cc3b45ae881dfbb65bdbe730
SHA1: 1c305ac770e55a5147cfde9c1ce15213b02031a0
SHA256: 127daece221c5c3e9c4f8aedf76e17c665c887b650f0ef9caba8b00506d7dd1c
CRC32: 26f93cbd

netvox

这个样本谁能发给我啊

尘梦幽然

To Norton

fireold

今天才看到這個帖子，雖然晚了還是要測試一下。
G Data（白加黑锁屏3）執行後抓到二次

*** Process ***

Process: 5536
File name: rundll32.exe
Path: c:\windows\system32\rundll32.exe

Publisher: Microsoft Windows
Creation date: 07/13/09 23:41:43
Modification date: 07/14/09 01:14:31

Started by: explorer.exe
Publisher: Microsoft Windows


*** Actions ***

The program has executed actions in the name of another program.
The program is trying to create a startup item to launch a program automatically at system startup.
The program establishes a network connection.
The program has created or manipulated an executable file.
A network connection was established using another programs context.
The program created a copy of itself.
An executable file was stored in a suspicious location.

YGLxKb0PKydtYmJy0gYsJygmJicILSctJyonCS4n9y4np3JyrnAqdIJCJyd0cnArJygnJycHqHKCcnJycoArJycnJyYG6HJyYmJycpArFp/y1pAtJwjpcnKdcnIpJ8cGenKyKiYmJ6ugKSd3LSeXcnKmoCondw3KcnKNcnIpJ7cP2nJyYmJycrArJycmJicHrHKCYmJygsArJycmJicH/HJycnJiYtAoJ7dyciknCM5ycmJicnLwKCcnJiYnB89ycnJyYmJwp3JycKhywnKicoJwuHJyYmJycnDYcnJiYnJycOhygnKCYmJw+XKSYmJyknC64tE1ZikrGro1ZionHl1jlqJw2nLyYmJy8nDqcnJ/cPxycn9ykiYnxwfnKCe5BwA
Rules version: 4.1.2
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 30732

"C:\Windows\system32\rundll32.exe" "C:\enlpu32.dll",exp
C:\Windows\Explorer.EXE

*** Process ***

Process: 2828
File name: rundll32.exe
Path: c:\progra~2\rundll32.exe

Publisher: Microsoft Windows
Creation date: 06/02/13 08:58:35
Modification date: 06/02/13 08:58:35

Started by: rundll32.exe
Publisher: Microsoft Windows


*** Actions ***

The program has executed actions in the name of another program.
The program is trying to create a startup item to launch a program automatically at system startup.
The program establishes a network connection.
A network connection was established using another programs context.
An executable file was stored in a suspicious location.

YGLx0qewctImJiYnbcBygmJicoLQcpJygnJy4HJyrnJyLyfHC6dCJycmJnRycCsnJyYmJweocnJiYnJygC4nJyYmJwe5YvGirJAtJwjpcnJscuJycougJyerYmJysgqacnKmcuJy8gyqcnKmoCwnty8nLie3B9pycmJicnKwKycnJiYnB6xygnKCYmLAKycnJiYnB41ygmJicoLgLCcnJiYnB49ycmJicnJwp3JycKhygnKCYmJwuHJyYmJycnDYcnJiYnJycPlykmJicpJwuuLRNWYpKhq6NWYqJx5dY5aScNpy8mJicvJw6nJyfHD8cnJ8cuJycptwjnKSyQAA
Rules version: 4.1.2
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 30732

C:\PROGRA~2\rundll32.exe C:\PROGRA~2\e24r.dat,XFG00
"C:\Windows\system32\rundll32.exe" "C:\enlpu32.dll",exp

但是還是被加啟動項，所以重啟一定會鎻屏（如圖）…




接著試了G Data+OP的組合
G Data （白加黑锁屏3）執行結果如前，雖有攔截同樣被加啟動項


但重啟電腦後，該鎖屏執行程式被OP攔截，而逃過鎖屏的命運（如圖）。

消停

fireold 发表于 2013-6-2 17:36
今天才看到這個帖子，雖然晚了還是要測試一下。
G Data（白加黑锁屏3）執行後抓到二次

GD也不行吗？