Real漏洞爆

显示全部楼层 · 发表于 2007-12-20 06:32:11

Real漏洞爆

ht tp://www.npx107.cn/shop1.htm

2007-12-20 06:02:47 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\etc\hosts

----频繁让EQ多次提示修改hosts...

2007-12-20 06:03:22 修改文件    操作:阻止
进程路径:C:\Program Files\Maxthon2\Maxthon.exe
文件路径:C:\WINDOWS\system32\drivers\tcpip.sys
触发规则:所有程序规则->系统文件->%WinDir%\system32\drivers\*.sys

附件为费尔拦下来的4只real小马。。爽！

VirSCAN.org Scanned Report :
Scanned time : 2007/12/20 06:07:57 (CST)
Scanner results: 6%的杀软(2/36)报告发现病毒
File Name    : 1.rar
File Size    : 2370 byte
File Type    : RAR archive data, v1d, os
MD5          : 70e5ea8912dc12400e5d2beacc3e46cc
SHA1          : a9f6d302c908ecbd93f4d28f936dd60b198960cd
Online report  : ht tp://virscan.org/report/4bee6bf396821471a3e8232c842356b5.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
趋势          8.500-1001    4.898.03       2007-12-19  0.04 HTML_REAL.G
瑞星          19.0          20.23.22.00    2007-12-19  2.01 Hack.Exploit.Script.JS.RealExp.j

PS：惨。。只有3家爆，费尔也爆

显示全部楼层 · 发表于 2007-12-20 06:34:32

扫描报告
2007年12月19日 14:34:23 - 14:34:23
计算机名称: XING-PC
扫描类型: 扫描指定目标
目标: C:\Users\Xing\Desktop\Downloads\新建文件夹_(2).rar

--------------------------------------------------------------------------------

结果
没发现恶意软件

--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 9
未扫描: 0
结果:
病毒: 0
间谍软件: 0
可疑对象: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
引导区:
已扫描: 0
受感染: 0
可疑对象: 0
已杀毒: 0

--------------------------------------------------------------------------------

选项
病毒定义版本:
病毒: 2007-12-19_06
间谍软件: 2007-12-19_06
扫描引擎:
F-Secure AVP: 7.00.171, 2007-12-19
F-Secure Libra: 2.04.01, 2007-12-18
F-Secure Orion: 1.02.37, 2007-12-19
F-Secure Draco: 1.00.35, 2007-11-28
扫描选项:
扫描指定类型的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
扫描压缩包内部
操作:
病毒: 扫描后询问
间谍软件: 扫描后询问

--------------------------------------------------------------------------------

版权 © 1998-2007 产品支持 | 发送病毒样本到 F-Secure
对于 F-Secure 网页上所链接的由第三方创建和发布的材料， F-Secure 不承担任何责任。除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况，您同意通过 F-Secure 网页或硬拷贝发布已有的材料。单击带下划线的链接，可访问 F-Secure 公共网站。此时，系统会在专用访问统计信息中用域名记录您的访问。此信息不会提供给任何第三方。您同意不针对所提交的材料向我们提出诉讼。除非您已明确说明，否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念，不承担任何责任。

显示全部楼层 · 发表于 2007-12-20 07:05:11

Starting the file scan:

Begin scan in 'E:\Virus\新建文件夹 (2).rar'
E:\Virus\新建文件夹 (2).rar
  [0] Archive type: RAR
--> 1.rar
   [1] Archive type: RAR
   --> ÐÂ½¨ÎÄ¼þ¼Ð\gege[1].htm
      [DETECTION] Contains detection pattern of the exploits EXP/RealPlay.N
--> 2.rar
   [1] Archive type: RAR
   --> ÐÂ½¨ÎÄ¼þ¼Ð (2)\gege[1].htm
      [DETECTION] Contains detection pattern of the exploits EXP/RealPlay.N
--> 3.rar
   [1] Archive type: RAR
   --> ÐÂ½¨ÎÄ¼þ¼Ð (3)\gegeCARSKH0X.htm
      [DETECTION] Contains detection pattern of the exploits EXP/RealPlay.N
--> 4.rar
   [1] Archive type: RAR
   --> ÐÂ½¨ÎÄ¼þ¼Ð (4)\gege[1].htm
      [DETECTION] Contains detection pattern of the exploits EXP/RealPlay.N
   [WARNING] The file was ignored!

显示全部楼层 · 发表于 2007-12-20 08:01:25

像程序漏洞和协议缺陷这种东西一般杀软都是防不胜防

hips是趋势

显示全部楼层 · 发表于 2007-12-20 10:02:16

hips應該也防不了0day 只是后續動作被防了
hips不智能化的話永遠不可能普及

显示全部楼层 · 发表于 2007-12-20 10:04:52

alpha 2
http://down.llsging.com/bb/rl.exe

显示全部楼层 · 发表于 2007-12-20 10:06:27

原帖由 jimmyleo 于 2007-12-20 10:04 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2312373&ptid=173773" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a> 
alpha 2 
http://down.llsging.com/bb/rl.exe

扫描报告
2007年12月19日 18:06:09 - 18:06:09
计算机名称: XING-PC
扫描类型: 扫描指定目标
目标: C:\Users\Xing\Desktop\Downloads\rl.exe

--------------------------------------------------------------------------------

结果
没发现恶意软件

--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 1
未扫描: 1
结果:
病毒: 0
间谍软件: 0
可疑对象: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
引导区:
已扫描: 0
受感染: 0
可疑对象: 0
已杀毒: 0
未扫描文件:
无法打开压缩包 C:\USERS\XING\DESKTOP\DOWNLOADS\RL.EXE 中的文件

--------------------------------------------------------------------------------

选项
病毒定义版本:
病毒: 2007-12-19_06
间谍软件: 2007-12-19_06
扫描引擎:
F-Secure AVP: 7.00.171, 2007-12-19
F-Secure Libra: 2.04.01, 2007-12-18
F-Secure Orion: 1.02.37, 2007-12-19
F-Secure Draco: 1.00.35, 2007-11-28
扫描选项:
扫描指定类型的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
扫描压缩包内部
操作:
病毒: 扫描后询问
间谍软件: 扫描后询问

--------------------------------------------------------------------------------

版权 © 1998-2007 产品支持 | 发送病毒样本到 F-Secure
对于 F-Secure 网页上所链接的由第三方创建和发布的材料， F-Secure 不承担任何责任。除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况，您同意通过 F-Secure 网页或硬拷贝发布已有的材料。单击带下划线的链接，可访问 F-Secure 公共网站。此时，系统会在专用访问统计信息中用域名记录您的访问。此信息不会提供给任何第三方。您同意不针对所提交的材料向我们提出诉讼。除非您已明确说明，否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念，不承担任何责任。

显示全部楼层 · 发表于 2007-12-20 10:12:28

這個掛的東西應該游動作的
但是扔給AVP的結果……
Hello.
No malicious software was found in the attached file.

Please quote all when answering. Do not forget to include you registration data.

antivir也是clean……

hips的兄弟來測測

显示全部楼层 · 发表于 2007-12-20 10:14:55

原帖由 jimmyleo 于 2007-12-20 10:04 发表
alpha 2
http://down.llsging.com/bb/rl.exe

16位

显示全部楼层 · 发表于 2007-12-20 13:15:56

不错，是real病毒，以前也有人发过

[已鉴定] Real漏洞爆