收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 元旦了 俺仅代表远控作者以及俺本人祝大家新年快乐哦
1234下一页
返回列表 发新帖
楼主: 小柯安全
 收起左侧

[病毒样本] 元旦了 俺仅代表远控作者以及俺本人祝大家新年快乐哦

[复制链接]
wqcaokeyinwq
发表于 2013-12-31 21:19:29 | 显示全部楼层
过微点主防



和以前的样本的区别在于:他没有联网行为。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

小柯安全
 楼主| 发表于 2013-12-31 21:21:08 | 显示全部楼层
wqcaokeyinwq 发表于 2013-12-31 21:19
过微点主防

小黑客在陪妹子
回复

举报

笨死的火星猪
发表于 2013-12-31 22:17:38 | 显示全部楼层
本帖最后由 笨死的火星猪 于 2013-12-31 22:18 编辑
tg123321 发表于 2013-12-31 17:34
Comodo HIPS 被过(实机)


你这啥症状?
我这没运行,解压直接中标,被加驱,C:\WINDOWS\system32下多出一个2778.sys,一会儿后自动消失。
注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2778]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
  44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,32,00,37,00,37,00,38,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="2778"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2778\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2778\Enum]
"0"="Root\\LEGACY_2778\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

被添加,桌面IE双击变新建快捷方式,快捷启动栏被添加IE快捷方式~~
别的暂时没发现什么咯
回复

举报

tg123321
发表于 2013-12-31 22:28:34 | 显示全部楼层
笨死的火星猪 发表于 2013-12-31 22:17
你这啥症状?
我这没运行,解压直接中标,被加驱,C:\WINDOWS\system32下多出一个2778.sys,一会儿后自 ...

之前也发现桌面IE不正常,用360急救箱恢复之~
回复

举报

jayavira
发表于 2014-1-1 06:54:54 | 显示全部楼层
小柯安全 发表于 2013-12-31 17:34
这个貌似不是新的基因检测 如果exe的那种卡巴可以识别才叫新的

那么请问这叫什么呢?
回复

举报

小柯安全
 楼主| 发表于 2014-1-1 16:53:02 | 显示全部楼层
jayavira 发表于 2014-1-1 06:54
那么请问这叫什么呢?

这个拦截不是一个多星期了吗 那就不能算新的了
回复

举报

jayavira
发表于 2014-1-1 17:08:01 | 显示全部楼层
小柯安全 发表于 2014-1-1 16:53
这个拦截不是一个多星期了吗 那就不能算新的了

你看看后面的编码吧。明显就是新命名的
上个星期的编码是bf,而现在是bo
这还不是新的,那什么才叫新的
回复

举报

风爱朴2
发表于 2014-1-1 19:12:58 | 显示全部楼层
1、


2、
回复

举报

仙剑问情
发表于 2014-1-1 22:47:41 | 显示全部楼层
火绒无压力
回复

举报

小飞侠.net
发表于 2014-1-1 23:04:18 | 显示全部楼层

Avast                 20140101  OK
Ikarus                 20140101  OK
Rising                 20140101  OK

文件名: D:\360安全浏览器下载\55.7z
文件大小: 138286 字节 (135.04 KB)
修改日期: 2014-01-01 22:56
MD5: 26935b4437ef6b50580f5e9bab06b704
SHA1: 81959c04033134fdd102fe034288b1b1a6fb7cf7
SHA256: d4e2127ed25a1e98e5e44bd4d41e5d9afe65de8061b539a5f99b74a3e164b804
CRC32: c477ae39







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:52 , Processed in 0.097833 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表