精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

bbszy

驭龙 发表于 2015-7-13 13:03
不要怪我删除样本，毕竟有好几位饭友实机运行了，还请各位饭友小心。

ZeroAccess病毒样本，密码：infe ...

主要是我也删了。。。。

这个还是不会穿虚拟机吧。

我下载好了。

驭龙

bbszy 发表于 2015-7-13 13:10
主要是我也删了。。。。

这个还是不会穿虚拟机吧。

它没有局域网蠕虫传播的功能，如果设置好共享问题，穿的可能性基本上没有，因为我这里一切正常

bbszy

驭龙 发表于 2015-7-13 13:12
它没有局域网蠕虫传播的功能，如果设置好共享问题，穿的可能性基本上没有，因为我这里一切正常

共享没开。只开了拖拽和剪贴板。用的vmware。

白露为霜

驭龙 发表于 2015-7-13 13:03
不要怪我删除样本，毕竟有好几位饭友实机运行了，还请各位饭友小心。

ZeroAccess病毒样本，密码：infe ...

已经收藏，感谢
卡巴

Trojan.Win32.FakeAV.aimq

bbszy

驭龙 发表于 2015-7-13 07:00
你就对卡巴的监控这么有信心吗？它的Anti Rootkits监控并不强，我大概等了十几分钟才扫描的哟，要知道黑 ...

哈哈 难怪卡巴要频繁的扫RTKT。

又测了一下诺顿。运行样本在开监控等了五分钟没反应，重启之后，进入桌面诺顿发现了ZA，日志里显示detected by auto-protect。诺顿在一定程度上还是抑制了ZA，因为重启之后运行pchunter，没有提示有ZA。

驭龙

bbszy 发表于 2015-7-13 13:47
哈哈 难怪卡巴要频繁的扫RTKT

但是不扫ARK的基准线，却在中招ZA以后，杀不掉ZA，Microsoft不是吹MA的反Rootkits是最新技术吗，结果还不如其他家的反Rootkits技术，唉

bbszy

驭龙 发表于 2015-7-13 13:51
但是不扫ARK的基准线，却在中招ZA以后，杀不掉ZA，Microsoft不是吹MA的反Rootkits是最新技术吗，结果还不 ...

又测了一下诺顿。运行样本在开监控等了五分钟没反应，重启之后，进入桌面诺顿发现了ZA，日志里显示detected by auto-protect。诺顿在一定程度上还是抑制了ZA，因为重启之后运行pchunter，没有提示有ZA（奇怪，刚运行样本驱动模块里有未知PE对象，重启之后，诺顿发现ZA了，驱动模块选项卡里都正常了，这跟上次结果不一样）。但就是没法清除，包括他家的工具，哈哈。

驭龙

bbszy 发表于 2015-7-13 13:53
又测了一下诺顿。运行样本在开监控等了五分钟没反应，重启之后，进入桌面诺顿发现了ZA，日志里显示dete ...

现在最霸气的还是黑寡妇，开预防性保护很快就灭ZA，而MA只能防大部分但不完美，我都放弃MA了，现在上McAfee，起码McAfee的修复和清理比较好，而且5800新引擎会增加强化Live Memory Scanning 功能，过几个月就来了

bbszy

驭龙 发表于 2015-7-13 13:58
现在最霸气的还是黑寡妇，开预防性保护很快就灭ZA，而MA只能防大部分但不完美，我都放弃MA了，现在上McAf ...

哎，又重启了一次，pchunter又能检测到ZA了，驱动模块里的可以pe对象又来了。。。

驭龙

bbszy 发表于 2015-7-13 14:02
哎，又重启了一次，pchunter又能检测到ZA了，驱动模块里的可以pe对象又来了。。。

Norton啊，可惜驱动化引擎了，我真的不知道它的驱动化引擎是做什么的，唉