【自制】万万没想到的敲竹杠…… VT 0/51

a445441

wqcaokeyinwq 发表于 2014-4-7 20:40
主防KILL

我也是预升级啊  不过虚拟机系统是精简过的xp系统而已

消停

wqcaokeyinwq 发表于 2014-4-7 20:30
预升级欢迎你！

是沙盒还是虚拟机？虚拟机的话即使拦截了也要重启一下试试！

axiuluo100

xp系统pf秒，之前也提示了cmd的行为

进击滴213

最新版火绒被过~

wplai

2014-3-30 21:13:21,C:\WINDOWS\explorer.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\qq\桌面\Test\Test.exe)
2014-3-30 21:13:25,C:\WINDOWS\system32\uxtheme.dll,56,Allowed ;安装全局钩子 (Test.exe(pid=1092))
2014-3-30 21:13:30,C:\Documents and Settings\qq\桌面\Test\Test.exe,51,Allowed ;进程间通信 (SecurityAccountsManager)
2014-3-30 21:13:32,C:\Documents and Settings\qq\桌面\Test\Test.exe,53,Allowed ;启动一个应用程序 (C:\WINDOWS\system32\cmd.exe)
2014-3-30 21:13:34,C:\WINDOWS\system32\cmd.exe,53,Allowed ;启动一个应用程序 (C:\WINDOWS\system32\conime.exe)
2014-3-30 21:13:38,C:\WINDOWS\system32\cmd.exe,53,Blocked ;启动一个应用程序 (C:\WINDOWS\system32\shutdown.exe)
XP下没有修改成功,奇怪.

hddu

2014-04-07 20:26:40    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\lsass.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
注册表名称:F
触发规则:应用程序规则->系统程序(一)->%windir%\system32\lsass.exe->HKEY_LOCAL_MACHINE\SAM\SAM*


2014-04-07  20:26:40    运行应用程序      操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c shutdown -s -t 2
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

安全起见，个人认为除非是自己主动手动操作，其他的操作一律阻止。

蛊钺龙彡

进击滴213 发表于 2014-4-8 11:38
最新版火绒被过~

火绒要双击的。。。扫描过很正常

594157544

猎豹 kill

[云启发病毒] Win32.Heur.KVMF64.hy
描述：这是一个木马病毒，该病毒感染电脑后常悄悄在后台运行，可能导致系统出现帐号丢失、隐私被盗、乱弹广告等各种异常。
文件位置：C:\Users\CSIOSI\Desktop\Test.rar

594157544

[压缩包病毒]
描述：病毒隐藏在压缩包中，随压缩包解压后诱导用户运行达到作恶目的。
文件位置：C:\Users\CSIOSI\Desktop\小a在线安装.rar 小a在线安装.exe

龙套传说

wqcaokeyinwq 发表于 2014-4-7 20:50
正在研究白加黑和锁屏类样本，他们需要大量的样本来研究行为，才能做到报警和平衡！

。。。145到146用了一年半的时间。。。