VT Detection ratio: 1 / 50 143592.exe 挂马 我大越南杀软V5 灭之

瓜g

墨家小子 发表于 2014-3-14 19:14
你什么系统？挂钩？貌似只有注入自身，我没截图

win8.1 32位

墨家小子

瓜g 发表于 2014-3-14 19:14
win8.1 32位

你放行那一步之后会怎样？

墨家小子

saga3721 发表于 2014-3-14 19:04
微点没反应
文件 ID         文件名         大小(字节)         结果
28056739         143592.rar         70.59 KB         OK

火眼点评
      系统暂时无法识别出该样本的行为，原因可能是:;样本本身无行为;缺少文件或者组件；其他未知问题。

本身无行为

兜里揣着メ壹块

360杀毒扫描日志

病毒库版本：2014-03-13 10:50
扫描时间：2014-03-14 19:18:39
扫描用时：00:00:03
扫描类型：右键扫描
扫描文件总数：2
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：否
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：BitDefender Avira(小红伞)

扫描内容
----------------------
C:\Users\lenovo~\Desktop\143592.rar


白名单设置
----------------------


扫描结果
======================
未发现威胁文件

saga3721

墨家小子 发表于 2014-3-14 19:12
这就是我说的进到本地之后什么也不干，直接写注册表注入再联网，除了墙有反应，别的你还真看不到什 ...

微点墙也没动静，要是墙拦截了那也一样等于样本功能失效

瓜g

墨家小子 发表于 2014-3-14 19:15
你放行那一步之后会怎样？

实机不敢放行

墨家小子

saga3721 发表于 2014-3-14 19:19
微点墙也没动静，要是墙拦截了那也一样等于样本功能失效

我擦 神奇啊 我系统墙都拦截了一下呢我去 是不是之前写注册表把墙搞坏了？

2014/3/14 18:29:14,C:\Program Files\Java\jre7\bin\javaw.exe,53,Allowed ;Execution of an application (C:\Users\A\AppData\Local\Temp\143592.exe)

2014/3/14 18:29:17,C:\Users\A\AppData\Local\Temp\143592.exe,53,Allowed ;Execution of an application (C:\Users\A\AppData\Local\Temp\143592.exe)

2014/3/14 18:29:20,C:\Users\A\AppData\Local\Temp\143592.exe,36,Allowed ;Injecting dll (143592.exe(pid=3332))

2014/3/14 18:29:47,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,Impersonate)

2014/3/14 18:30:06,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,Asynchronous)

2014/3/14 18:30:18,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,MaxWait)

2014/3/14 18:30:34,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,koehsnwt)

2014/3/14 18:30:37,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,DllName)

2014/3/14 18:30:43,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw,Startup)

2014/3/14 18:30:56,C:\Users\A\AppData\Local\Temp\143592.exe,26,Blocked ;Modifying protected registry key (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,jerlobw)

2014/3/14 18:31:43,C:\Users\A\AppData\Local\Temp\143592.exe,54,Allowed ;Receiving incoming network packets

2014/3/14 18:32:09,C:\Users\A\AppData\Local\Temp\143592.exe,54,Allowed ;Receiving incoming network packets

2014/3/14 18:32:12,C:\Users\A\AppData\Local\Temp\143592.exe,50,Allowed ;Accessing the network via DNSResolver service

2014/3/14 18:32:26,C:\Users\A\AppData\Local\Temp\143592.exe,48,Allowed ;Outgoing network access

墨家小子

瓜g 发表于 2014-3-14 19:19
实机不敢放行

怎么不早说你实机呢，要知道你实机放几个猛的出来陪你玩

saga3721

墨家小子 发表于 2014-3-14 19:29
我擦 神奇啊 我系统墙都拦截了一下呢我去 是不是之前写注册表把墙搞坏了？

2014/3/14 18:29:14, ...

可能反虚拟机，或者跟我没等多久有关

墨家小子

saga3721 发表于 2014-3-14 19:32
可能反虚拟机，或者跟我没等多久有关

ppppppp我就在虚拟机里试的 貌似这家伙在listen