楼主: 驭龙
收起左侧

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴,双击大战ZeroAccess变种】

  [复制链接]
bbszy
发表于 2015-7-13 13:10:29 | 显示全部楼层
驭龙 发表于 2015-7-13 13:03
不要怪我删除样本,毕竟有好几位饭友实机运行了,还请各位饭友小心。

ZeroAccess病毒样本,密码:infe ...

主要是我也删了。。。。

这个还是不会穿虚拟机吧。

我下载好了。
驭龙
 楼主| 发表于 2015-7-13 13:12:48 | 显示全部楼层
bbszy 发表于 2015-7-13 13:10
主要是我也删了。。。。

这个还是不会穿虚拟机吧。

它没有局域网蠕虫传播的功能,如果设置好共享问题,穿的可能性基本上没有,因为我这里一切正常
bbszy
发表于 2015-7-13 13:16:33 | 显示全部楼层
驭龙 发表于 2015-7-13 13:12
它没有局域网蠕虫传播的功能,如果设置好共享问题,穿的可能性基本上没有,因为我这里一切正常


共享没开。只开了拖拽和剪贴板。用的vmware。
白露为霜
发表于 2015-7-13 13:18:50 | 显示全部楼层
本帖最后由 root1605 于 2015-7-13 13:21 编辑
驭龙 发表于 2015-7-13 13:03
不要怪我删除样本,毕竟有好几位饭友实机运行了,还请各位饭友小心。

ZeroAccess病毒样本,密码:infe ...


已经收藏,感谢
卡巴
Trojan.Win32.FakeAV.aimq
bbszy
发表于 2015-7-13 13:47:07 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-13 13:52 编辑
驭龙 发表于 2015-7-13 07:00
你就对卡巴的监控这么有信心吗?它的Anti Rootkits监控并不强,我大概等了十几分钟才扫描的哟,要知道黑 ...


哈哈 难怪卡巴要频繁的扫RTKT。

又测了一下诺顿。运行样本在开监控等了五分钟没反应,重启之后,进入桌面诺顿发现了ZA,日志里显示detected by auto-protect。诺顿在一定程度上还是抑制了ZA,因为重启之后运行pchunter,没有提示有ZA。
驭龙
 楼主| 发表于 2015-7-13 13:51:24 | 显示全部楼层
bbszy 发表于 2015-7-13 13:47
哈哈 难怪卡巴要频繁的扫RTKT

但是不扫ARK的基准线,却在中招ZA以后,杀不掉ZA,Microsoft不是吹MA的反Rootkits是最新技术吗,结果还不如其他家的反Rootkits技术,唉
bbszy
发表于 2015-7-13 13:53:39 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-13 13:56 编辑
驭龙 发表于 2015-7-13 13:51
但是不扫ARK的基准线,却在中招ZA以后,杀不掉ZA,Microsoft不是吹MA的反Rootkits是最新技术吗,结果还不 ...


又测了一下诺顿。运行样本在开监控等了五分钟没反应,重启之后,进入桌面诺顿发现了ZA,日志里显示detected by auto-protect。诺顿在一定程度上还是抑制了ZA,因为重启之后运行pchunter,没有提示有ZA(奇怪,刚运行样本驱动模块里有未知PE对象,重启之后,诺顿发现ZA了,驱动模块选项卡里都正常了,这跟上次结果不一样)。但就是没法清除,包括他家的工具,哈哈。
驭龙
 楼主| 发表于 2015-7-13 13:58:54 | 显示全部楼层
本帖最后由 驭龙 于 2015-7-13 14:06 编辑
bbszy 发表于 2015-7-13 13:53
又测了一下诺顿。运行样本在开监控等了五分钟没反应,重启之后,进入桌面诺顿发现了ZA,日志里显示dete ...

现在最霸气的还是黑寡妇,开预防性保护很快就灭ZA,而MA只能防大部分但不完美,我都放弃MA了,现在上McAfee,起码McAfee的修复和清理比较好,而且5800新引擎会增加强化Live Memory Scanning 功能,过几个月就来了
bbszy
发表于 2015-7-13 14:02:39 | 显示全部楼层
驭龙 发表于 2015-7-13 13:58
现在最霸气的还是黑寡妇,开预防性保护很快就灭ZA,而MA只能防大部分但不完美,我都放弃MA了,现在上McAf ...

哎,又重启了一次,pchunter又能检测到ZA了,驱动模块里的可以pe对象又来了。。。
驭龙
 楼主| 发表于 2015-7-13 14:05:00 | 显示全部楼层
bbszy 发表于 2015-7-13 14:02
哎,又重启了一次,pchunter又能检测到ZA了,驱动模块里的可以pe对象又来了。。。

Norton啊,可惜驱动化引擎了,我真的不知道它的驱动化引擎是做什么的,唉
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 06:33 , Processed in 0.090035 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表