免杀做的很好的一个毒

显示全部楼层 · 发表于 2014-9-30 13:41:15

2014/9/30 13:38:57,C:\Windows\explorer.exe,53,Allowed ;启动一个应用程序 ("C:\Users\一般般还可以\Desktop\photo\photo\photo.exe" )
2014/9/30 13:39:02,C:\Users\一般般还可以\Desktop\photo\photo\photo.exe,53,Allowed ;启动一个应用程序 ("C:\Users\一般般还可以\Desktop\photo\photo\photo.exe" )
2014/9/30 13:39:07,C:\Users\一般般还可以\Desktop\photo\photo\photo.exe,53,Allowed ;启动一个应用程序 (C:\Windows\SysWOW64\msiexec.exe)
2014/9/30 13:39:19,C:\Windows\SysWOW64\msiexec.exe,47,Allowed ;创建或修改交换数据流 (C:\ProgramData\mskaqol.exe:Zone.Identifier)
2014/9/30 13:39:21,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,1188666040)
2014/9/30 13:39:23,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,TaskbarNoNotification)
2014/9/30 13:39:24,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,TaskbarNoNotification)
2014/9/30 13:39:26,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideSCAHealth)
2014/9/30 13:39:27,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideSCAHealth)
2014/9/30 13:39:31,C:\Windows\SysWOW64\msiexec.exe,26,Blocked ;改变受保护的注册表项目 (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,EnableLUA)
2014/9/30 13:39:33,C:\Windows\SysWOW64\msiexec.exe,40,Blocked ;打开其它进程并获取修改权限 (smss.exe(pid=348))
2014/9/30 13:39:35,C:\Windows\SysWOW64\msiexec.exe,48,Allowed ;传出的网络访问-出站
2014/9/30 13:39:37,C:\Windows\SysWOW64\msiexec.exe,50,Allowed ;通过DNS解析服务访问网络

显示全部楼层 · 发表于 2014-9-30 13:43:15

本帖最后由 skylzf 于 2014-10-2 10:10 编辑

？？双击后允许，没行为了？
估计真正原因：安装过.net framework的电脑才会受影响，未安装.net framework的电脑病毒貌似不会发作，只运行原始文件名进程。

关键行为
行为描述:
跨进程写入数据
详情信息:
TargetProcess = sample.exe, WriteAddress = 0x00400000, Size = 1024
TargetProcess = sample.exe, WriteAddress = 0x00401000, Size = 2560
TargetProcess = sample.exe, WriteAddress = 0x00402000, Size = 11264
TargetProcess = sample.exe, WriteAddress = 0x7ffd6008, Size = 4
行为描述:
设置线程上下文
详情信息:
C:\%temp%\1411981607.175776.exe
枚举进程
文件行为
行为描述:
写权限映射文件
详情信息：
Global\Cor_Private_IPCBlock_1760
Global\Cor_Public_IPCBlock_1760
其他行为
行为描述:
枚举窗口
详情信息：
N/A
行为描述:
内联HOOK
详情信息:
C:\WINDOWS\system32\ws2_32.dll--->GetAddrInfoW Offset = 0x1
行为描述:
获取系统权限
详情信息:
SE_DEBUG_PRIVILEGE

本机环境：没蓝屏、没重启、手动重启后扫描正常——WIN7 32BIT:

显示全部楼层 · 发表于 2014-9-30 14:59:10

过微点主动防御

显示全部楼层 · 发表于 2014-9-30 16:44:23

win8.1，kis2015连下载都不行。

显示全部楼层 · 发表于 2014-9-30 17:23:26

这么牛啊，支持。

显示全部楼层 · 发表于 2014-9-30 17:27:30

多引擎扫描，只作参考。

显示全部楼层 · 发表于 2014-9-30 17:39:45

红伞pro 点击下载就拦截了应该是web防护组件报毒

显示全部楼层 · 发表于 2014-9-30 17:52:42

金山终于慢慢悠悠地慢慢悠悠地入库了

显示全部楼层 · 发表于 2014-9-30 19:56:16

gdata阻止下载

显示全部楼层 · 发表于 2014-9-30 20:01:31

蓝天二号发表于 2014-9-29 18:03
和你楼上EAV一样，，，，

也许是信誉杀吧,信誉杀的话本地不报毒

[病毒样本] 免杀做的很好的一个毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源