今天中了一个超强免杀的病毒，免杀率百分百，求分析这个样本

toktsnhc

静默安装  这种大部分杀软不会报的  如果你装了hips应该会有一定的反应吧 卡巴也许开交互，取消信任数字签名比较好  没有尝试过

百地三太夫

这个不是病毒，报啥啊？
充其量只是个流氓软件而已。

z1002492866

c7sky 发表于 2013-8-30 19:57
问题是没有任何杀毒软件防得住啊

流氓软件杀软当然不会去防，流氓软件只是捆绑，对计算机不会造成损坏。杀软当然不会阻止。能阻止流氓软件的只有优化类软件，如卫士等。

z1002492866

当然了，现在国产杀软里集合了卫士清理流氓的功能，如金山，360等。国外的杀软不会防这些，因为他们的软件如果有流氓行为，估计做不下去。国情不同。

q262233396

变相推广吗

書笺

机智的广告哥~

Wesly.Zhang

Hello,

把这个自解压缩的压缩包解压后得到两个文件，一个是可执行文件，另一个是vbs执行文件。

打开那个 run.vbs 后就是两部分内容，第一部分是运行 那个可执行文件 ，第二部分是改IE浏览器首页为 http://www.2345.com/?k694918，这个?k694918是一个传入参数，浏览器将这个参数传给网站，网站后台应该会统计这个id的传入数量，来给指定的id对应的人流量或者推广的成吧。

可执行文件会从金山网站上下载安装包，放置到 temp 文件夹下的新创建的文件夹的 kingsoftkonline 下运行 /s 参数静默安装。











那个可执行文件应该是正常的，没有什么其他恶意行为。

夜雨萧风

呵呵，楼主。。。看完你的标题再看你上传的文件，我不得不说，我打心眼里佩服你。。。。