干掉诺顿的敲竹杠样本已经入库

显示全部楼层 · 发表于 2014-5-14 23:04:42

尘梦幽然发表于 2014-5-14 22:44
消费者。嗯，我说的不是企业客户或者IT技术人员。
这点上，你不管去访问卡巴、BD、咖啡、趋势还 ...

也是！小客户跟大客户的待遇还是有距离的！

显示全部楼层 · 发表于 2014-5-14 23:33:43

本帖最后由尘梦幽然于 2014-5-14 23:36 编辑

黑鹰99 发表于 2014-5-14 23:04
也是！小客户跟大客户的待遇还是有距离的！

我刚才在看12-13年间ZeroAccess和其他一系列病毒爆发时候的东西。不仅当时消停急得直跺脚，美国论坛也有人公开发帖质问赛门铁克处理不力。
反正一群人喷了一两天，响应中心派了个工程师来。

反正后来这事整整喷了N天N夜。。

显示全部楼层 · 发表于 2014-5-15 08:00:41

本帖最后由消停于 2014-5-15 08:04 编辑

驭龙发表于 2014-5-14 18:55
那你去样本区拿14号的029吧，那家伙把MA家族都给过了

==========================华丽的分隔线========= ...

这个已经被启发了，关闭启发SONAR能杀掉，重启后电脑无异常。

文件名: 029.exe
威胁名称: SONAR.Heuristic.112
完整路径: 不可用
____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 8
____________________________

在电脑上的创建时间
2014-5-15 ( 7:57:02 )

上次使用时间
2014-5-15 ( 7:57:02 )

启动项目
否

已启动
是
____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

来源: 外部介质

源文件:
029.exe
____________________________

文件操作

文件: f:\norton样本\ 029.exe 已删除
文件: c:\users\administrator\appdata\locallow\sogoupy\components\ componentconfig.ini 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ SogouInput.user->SogouComponentFirstLoad:1400111791 已修复
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ 029_RASAPI32 已删除
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\029.exe, PID:5508) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\029.exe, PID:5508) 未采取操作
事件: 进程启动: f:\norton样本\ 029.exe, PID:5508 (执行者 f:\norton样本\029.exe, PID:5508) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\029.exe, PID:5508) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-5-15 08:59:06

尘梦幽然发表于 2014-5-14 23:33
我刚才在看12-13年间ZeroAccess和其他一系列病毒爆发时候的东西。不仅当时消停急得直跺脚，美国 ...

我就是说嘛！铁壳的应对措施，太不靠谱了！到现在还是没一点长进！

显示全部楼层 · 发表于 2014-5-15 12:38:46

诺顿为什么那技术一直有点不靠谱，我用着都觉得这铁壳有点锈。那几个毒在360一下就杀了。

显示全部楼层 · 发表于 2014-5-15 12:43:50

7772456 发表于 2014-5-15 12:38
诺顿为什么那技术一直有点不靠谱，我用着都觉得这铁壳有点锈。那几个毒在360一下就杀了。

这个毒，如果你从真实环境来的话，应该也是可以杀的。

显示全部楼层 · 发表于 2014-5-15 12:45:32

本帖最后由尘梦幽然于 2014-5-15 12:48 编辑

黑鹰99 发表于 2014-5-15 08:59
我就是说嘛！铁壳的应对措施，太不靠谱了！到现在还是没一点长进！

ZAccess是直接针对铁壳的，和这个没有可比性。
而且那段时间还爆发了一系列难缠的东西。记得当时消停用某急救箱测试，也一样不能移除ZAccess
可以看出当时响应中心的工作人员有在关注。但是因为全部是在针对铁壳，所以仍然非常艰难。

显示全部楼层 · 发表于 2014-5-15 12:56:12

消停发表于 2014-5-15 08:00
这个已经被启发了，关闭启发SONAR能杀掉，重启后电脑无异常。

文件名: 029.exe

你上次给的那一大波样本赛门铁克截至目前处理了多少？

显示全部楼层 · 发表于 2014-5-15 12:56:42

不打算用趋势那么重的东西，准备用fstp。再说你不是咖啡用得好好的吗……

显示全部楼层 · 发表于 2014-5-15 13:04:13

dragon2009120 发表于 2014-5-15 12:56
不打算用趋势那么重的东西，准备用fstp。再说你不是咖啡用得好好的吗……

我只是把咖啡用作鉴定病毒的工具罢了。

快帮我算号

[资讯] 干掉诺顿的敲竹杠样本已经入库

评分