c9b3e2c655dad85fc0dd0554a4a38915

显示全部楼层 · 发表于 2013-6-7 20:13:13

蓝核发表于 2013-6-7 19:56
神辅助……

费尔在虚拟机里

显示全部楼层 · 发表于 2013-6-7 20:33:33

lz的应该是x86系统

x64里，样本是注入welfault.exe

SSF无法拦截注入welfault.exe，之后welfault.exe要写注册表启动项，拦住联网和启动项，防御住

用PowerTool完全看不到注入的模块，伤心

显示全部楼层 · 发表于 2013-6-7 21:16:08

darkwolf_99 发表于 2013-6-7 20:33
lz的应该是x86系统

x64里，样本是注入welfault.exe

貌似这类的注入没有模块啊，好像是用什么特殊手法直接修改内存的。

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0 (zh-CN)
—— 新浪网天气信息地球上的某个城市:6月7日17:20发布　

—— 今天星期五(6月7日) 多云 36℃～21℃ 东风微风
—— 明天星期六(6月8日) 阵雨转小雨 30℃～19℃ 东风微风
—— 发帖时间：现在是2013年06月07日第2季度星期五 21时16分38秒881毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

显示全部楼层 · 发表于 2013-6-7 21:19:27

蛋挞入库了，测试SS实机还是免了吧

显示全部楼层 · 发表于 2013-6-7 21:47:32

li13911 发表于 2013-6-7 21:16
貌似这类的注入没有模块啊，好像是用什么特殊手法直接修改内存的。

是的，很另类~~~~~~~

大神们的工具ms要改进了，跟不上了

显示全部楼层 · 发表于 2013-6-7 22:15:55

病毒: Trojan.GenericKDV.1024561 (引擎A), Win32:Rootkit-gen [Rtk] (引擎B)

下载网页内容时发现病毒。

显示全部楼层 · 发表于 2013-6-8 01:14:32

直接被mse给删掉了，不过这个样本已经被3朵国产云入库了

显示全部楼层 · 发表于 2013-6-20 17:50:56

无法下载啊

显示全部楼层 · 发表于 2013-6-26 21:51:42

感谢分享支持

显示全部楼层 · 发表于 2013-6-26 23:57:16

我来尸体机试试

[病毒样本] c9b3e2c655dad85fc0dd0554a4a38915