精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇迈克菲卡巴，双击大战ZeroAccess变种】

显示全部楼层 · 发表于 2015-7-11 15:47:19

驭龙发表于 2015-7-11 15:45
不知道个人版的咖啡会是什么情况，三大就它没有测，而且它也有Rootkits监控，很好奇，可惜个人版安装太恐 ...

咖啡我这里被墙了，所以也没法测。

或者测MES？

显示全部楼层 · 发表于 2015-7-11 15:54:36

bbszy 发表于 2015-7-11 15:47
咖啡我这里被墙了，所以也没法测。

或者测MES？

我明天找时间看看

显示全部楼层 · 发表于 2015-7-11 16:10:49

klinxun 发表于 2015-7-10 20:15
md5不对的话应该会报的……

信誉无法检测这个文件，提示格式不支持！

显示全部楼层 · 发表于 2015-7-11 16:51:45

本帖最后由 bbszy 于 2015-7-11 18:04 编辑

刚从在win7 x86虚拟机中又测了一下诺顿22.5

先关autoprotect（顺带sonar关了），然后运行样本。

防火墙阻止了样本联网。系统部分驱动被锁。

诺顿的文件、驱动、进程正常。

恢复监控，一两分钟内未见弹窗提示。开始快速扫描。

扫描报了两个：

报Trojan.Zeroaccess!inf的需要工具清除，另一个说要重启清除。重启前运行pchunter未提示有ZA!

重启后在进入欢迎界面前，黑屏，并显示symantec is cleaning threat……进入系统后，系统部分驱动依然被锁。运行pchunter未提示有ZA，但驱动模块页面显示有一个可疑驱动对象（测试趋势的时候，显示有两个）。

实测NPE无法清除。

通过诺顿的检测结果说“需要工具清除”，到铁壳的网站下载的ZA fix tool，运行提示说未发现感染。。。。

显示全部楼层 · 发表于 2015-7-11 17:40:42

趋势解压就报

显示全部楼层 · 发表于 2015-7-11 18:01:03

君陌潇发表于 2015-7-11 17:40
趋势解压就报

这个现在哪有不报的啊，需要关闭文件监控才能玩

显示全部楼层 · 发表于 2015-7-11 18:04:19

驭龙发表于 2015-7-11 18:01
这个现在哪有不报的啊，需要关闭文件监控才能玩

关闭监控扫描也拦截。但双击运行在我WIN8.1 64位上无法运行

显示全部楼层 · 发表于 2015-7-11 18:05:21

楼主测测卡巴试试？

显示全部楼层 · 发表于 2015-7-11 18:05:56

驭龙发表于 2015-7-11 18:01
这个现在哪有不报的啊，需要关闭文件监控才能玩

看137楼的反馈，我在win8.1 x64虚拟机中确实是运行不起来。。。

显示全部楼层 · 发表于 2015-7-11 18:14:32

bbszy 发表于 2015-7-11 18:05
看137楼的反馈，我在win8.1 x64虚拟机中确实是运行不起来。。。

报告情况，McAfee成功灭掉活动的ZA母体，具体情况马上更新1一楼

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇迈克菲卡巴，双击大战ZeroAccess变种】

本帖子中包含更多资源

评分

本帖子中包含更多资源

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

本帖子中包含更多资源

评分

本帖子中包含更多资源

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇迈克菲卡巴，双击大战ZeroAccess变种】