收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 过红伞,突破了 sandboxie
12345下一页
返回列表 发新帖
查看: 7032|回复: 46
收起左侧

[病毒样本] 过红伞,突破了 sandboxie

[复制链接]
cy6266812
发表于 2007-12-25 12:43:14 | 显示全部楼层 |阅读模式
红伞2007年12月25日12时库测,没报

http://www.huanghuaren.com/dogok.zip


在沙盘中运行了一下,有以下行为:
1、破环显示隐藏文件
2、注册为自启动项
3、注入explorer进程
4、修改系统时间为 2000.1.1 零点

突破了 sandboxie,试图进一步感染系统


《雨林小三测的报告》



PS:雨林一朋友称是他自己做的.

[ 本帖最后由 cy6266812 于 2007-12-25 13:15 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

绅博周幸
发表于 2007-12-25 12:48:13 | 显示全部楼层
扫描报告
2007年12月24日 20:48:04 - 20:48:04
计算机名称: XING-PC
扫描类型: 扫描指定目标
目标: C:\Users\Xing\Desktop\Downloads\dogok.zip


--------------------------------------------------------------------------------

结果
没发现恶意软件




--------------------------------------------------------------------------------

统计信息
已扫描:
文件: 2
未扫描: 0
结果:
病毒: 0
间谍软件: 0
可疑对象: 0
危险软件: 0
操作:
已杀毒: 0
已重命名: 0
删除: 0
已隔离: 0
失败: 0
引导区:
已扫描: 0
受感染: 0
可疑对象: 0
已杀毒: 0


--------------------------------------------------------------------------------

选项
病毒定义版本:
病毒: 2007-12-24_03
间谍软件: 2007-12-24_02
扫描引擎:
F-Secure AVP: 7.00.171, 2007-12-24
F-Secure Libra: 2.04.01, 2007-12-20
F-Secure Orion: 1.02.37, 2007-12-24
F-Secure Draco: 1.00.35, 2007-11-28
扫描选项:
扫描指定类型的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ SWF ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
扫描压缩包内部
操作:
病毒: 扫描后询问
间谍软件: 扫描后询问

--------------------------------------------------------------------------------

版权 © 1998-2007 产品支持 | 发送病毒样本到 F-Secure
对于 F-Secure 网页上所链接的由第三方创建和发布的材料, F-Secure 不承担任何责任。 除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况, 您同意 通过 F-Secure 网页或硬拷贝发布已有的材料。 单击带下划线的链接,可访问 F-Secure 公共网站。此时, 系统会在专用访问统计信息中用域名记录您的访问。 此信息不会提供给任何第三方。 您同意不针对所提交的材料向我们提出诉讼。 除非您已明确说明,否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念, 不承担任何责任。
回复

举报

宝贝要升天了
发表于 2007-12-25 12:48:27 | 显示全部楼层
知道沙盘不是万能的吧
呵呵
建议以后别用sandbox试
到时哭死你
真的高手都是在虚拟机里面跑再加沙盘
回复

举报

绅博周幸
发表于 2007-12-25 12:50:10 | 显示全部楼层
Thank you
--------------------------------------------------------------------------------

Thank you for your submission to F-Secure Security Labs!

The F-Secure Security Response Team will analyze your submission and contact you if needed.

If you have a malware infection please take a look at the virus removal instructions that are located on our Support Center pages.
回复

举报

will
发表于 2007-12-25 12:51:44 | 显示全部楼层
AntiVir Avast! Miss
回复

举报

sqsszzq
头像被屏蔽
发表于 2007-12-25 12:52:00 | 显示全部楼层
扫描结果
扫描结果 :  17%的杀软(6/36)报告发现病毒
时间 :  2007/12/25 12:48:21 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared3.0.0.1262007.12.232007-12-23-
2.951
AntiVir7.6.0.467.0.1.1512007-12-24-
2.147
Arcavir1.0.42007122413592007-12-24-
1.769
AVAST1.0.8071224-02007-12-24-
3.057
AVG7.5.49.442269.17.8/11952007-12-24-
1.884
BitDefender7.60825.9621817.164912007-12-25Generic.Malware.SQ!.0BC31BB2
3.398
CA (VET)9.0.0.14331.3.54002007-12-24-
10.692
ClamAV 0.91.252452007-12-25-
0.443
Comodo2.112.0.0.3832007-12-24-
0.887
CP Secure1.1.0.6552007.12.252007-12-25Troj.Downloader.W32.Delf.bq
6.327
Dr.WEB4.44.0.91702007.12.242007-12-24-
3.995
ewido4.0.0.22007.12.242007-12-24-
1.965
F-PROT4.4.1.52200712242007-12-24Possible W32/Blocker-based!Maximus
1.502
F-SECURE5.51.61002007.12.24.032007-12-24-
3.323
IKARUST3.1.01.152007.12.25.700432007-12-25Trojan.Click.2809
1.330
MKS_VIR2.012007.12.252007-12-25-
2.973
NOD322.70.1027452007-12-24-
0.115
NORMAN5.91.085.902007-12-23-
17.424
nProtect2007-12-25.0011021962007-12-25Generic.Malware.SQ!.0BC31BB2
4.405
PrevxV2200712252007-12-25-
8.969
QuickHeal9.002007.12.242007-12-24-
2.745
SOPHOS2.49.14.212007-12-24-
4.578
The Hacker6.2.9v001682007-12-22-
0.884
VBA323.12.2.520071224.11522007-12-24-
0.883
ViRobot200712242007.12.242007-12-24-
0.380
VirusBuster4.3.19:99.118.4/11.02007-12-24-
2.250
卡巴斯基5.5.102007.12.252007-12-25-
5.082
安博士V32007.12.25.002007.12.252007-12-25-
0.924
江民杀毒10.00.6502007.12.242007-12-24-
1.149
熊猫卫士9.04.03.00012007.12.242007-12-24Suspicious file
2.661
瑞星19.020.24.00.002007-12-24-
1.550
赛门铁克1.3.0.2420071224.0022007-12-24-
0.220
趋势8.500-10014.910.022007-12-24-
0.119
迈克菲5.2.0051922007-12-24-
1.223
金山毒霸2007.6.20.2492007.12.252007-12-25-
0.680
飞塔2.81-3.118.4492007-12-03-
0.261
注意: 就算报告发现病毒,也可能是杀软误报,请根据查毒结果自行判断
回复

举报

sqsszzq
头像被屏蔽
发表于 2007-12-25 12:53:04 | 显示全部楼层
总感觉熊猫很可爱,实际到底怎样不太清楚
回复

举报

saga3721
发表于 2007-12-25 12:55:32 | 显示全部楼层
程序:
C:\DOCUMENTS AND SETTINGS\TX\桌面\DOGOK\BIGDOG.EXE
木马程序生成以下文件:
1) C:\DOCUMENTS AND SETTINGS\TX\LOCAL SETTINGS\TEMP\E_4\KRNLN.FNR
2) C:\DOCUMENTS AND SETTINGS\TX\LOCAL SETTINGS\TEMP\E_4\SHELL.FNE
3) C:\WINDOWS\SYSTEM32\BIGDOG.EXE
4) C:\BIGDOG.EXE
是否删除木马程序及其衍生物?
回复

举报

mofunzone
发表于 2007-12-25 13:01:11 | 显示全部楼层
上报了。。
回复

举报

saga3721
发表于 2007-12-25 13:01:13 | 显示全部楼层
不是新毒是变种吧
ZA提示全程序感染添加启动项修改network
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-6 10:09 , Processed in 0.129444 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表