VT Detection ratio: 5 / 47 Play_Movie.exe 貌似替换service.exe

显示全部楼层 · 发表于 2013-6-9 16:57:45

诺顿拦:

显示全部楼层 · 发表于 2013-6-9 16:59:42

消停发表于 2013-6-9 16:56
还有一句类似的话，“我死以后，哪管他洪水滔天”！

after me，the flood

显示全部楼层 · 发表于 2013-6-9 17:00:52

本帖最后由 wjcharles 于 2013-6-9 17:05 编辑

消停发表于 2013-6-9 15:56
又是0access，诺顿绕道走！

这个是替换service.exe的0access

数万个norton被感染，嘿嘿

显示全部楼层 · 发表于 2013-6-9 17:00:59

v龙虾v 发表于 2013-6-9 16:57
诺顿拦:

你试试别的注入样本看看诺顿有没有类似第一张截图

显示全部楼层 · 发表于 2013-6-9 17:06:43

墨家小子发表于 2013-6-9 17:00
你试试别的注入样本看看诺顿有没有类似第一张截图

那个是应该是防火墙手动模式，x64下没有防注入的监视

显示全部楼层 · 发表于 2013-6-9 17:09:44

wjcharles 发表于 2013-6-9 17:06
那个是应该是防火墙手动模式，x64下没有防注入的监视

知道，之前用诺顿也是开手动的，不过没见过这种弹窗

显示全部楼层 · 发表于 2013-6-9 17:16:23

本帖最后由 wjcharles 于 2013-6-9 17:23 编辑

墨家小子发表于 2013-6-9 17:09
知道，之前用诺顿也是开手动的，不过没见过这种弹窗

最终结果：系统文件被替换，无法清除

BFE服务倒是修复了，但自动防护一直报毒，Zeroaccess.B和Zeroaccess.c

文件名: services.exe
威胁名称: Trojan.Zeroaccess!inf4
完整路径: c:\windows\system32\services.exe

____________________________

详细信息
多数用户信任的文件, 发布已久的文件, 风险高

原始
下载自 未知

活动
已执行的操作: 已执行的操作: 1

____________________________

在电脑上的创建时间 2013/6/9 ( 16:55:06 )
上次使用时间 2013/6/9 ( 16:56:03 )
启动项目否
已启动否

____________________________

多数用户信任的文件
诺顿社区中有数万名用户使用了此文件。

发布已久的文件
该文件已在 31 天1 年 1 个月前发行。

高
此文件具有高风险。

威胁类型: 间谍软件。主动跟踪个人或保密信息并将其发送给第三方的程序。

____________________________

来源: 外部介质
源文件:
4838729.exe创建的文件:
installflashplayer.exe创建的文件:
services.exe

____________________________

文件操作

受感染文件: c:\windows\system32\services.exe需要手动清除
____________________________

文件指纹 - SHA:
9bb8671774e6ce60cc5b9e3c166bd1ee577a3f1cbb5b4957de595a53d5b461d0
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2013-6-9 17:19:15

wjcharles 发表于 2013-6-9 17:16
最终结果：系统文件被替换，无法清除

这么大的动作死的肯定快，估计没几家不报的

显示全部楼层 · 发表于 2013-6-9 17:31:27

消停发表于 2013-6-9 16:14
算了，又会有一堆死忠起来争辩的，你说不和他们争论吧，喷就没意义了！对喷吧，我还太懒了！算了，静候诺 ...

消停我挺你！我也多去官方论坛逛逛~帮你打无脑粉！

显示全部楼层 · 发表于 2013-6-9 17:33:01

无我灭境发表于 2013-6-9 16:25
想不到现在诺顿这么差了，明日黄花

诺顿不重视本地方面的，sonar开发进度慢，入库更慢，这是一贯的弱点，也是一贯的恶心之处……整体还行

[可疑文件] VT Detection ratio: 5 / 47 Play_Movie.exe 貌似替换service.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源