ZeroAccess 样本x1

XywCloud

BAV Killed

aboringman

AVIRA kill it
[mw_shl_code=css,true]The file 'C:\Documents and Settings\Administrator\桌面\virus.exe'
contained a virus or unwanted program 'TR/Drop.Fjord.A' [trojan]
Action(s) taken:
The file was moved to the quarantine directory under the name '08b7f66d.qua'![/mw_shl_code]

神迹般存在

此病毒已被证实为ZeroAccess
具体评测见http://bbs.kafan.cn/thread-1838906-1-1.html
请勿实机双击，否则后果自负！

神迹般存在

230f4 发表于 2015-8-6 20:35
这标题是在气我吗64位系统

怎么了？莫非你因为双击ZeroAccess中毒了？

断簪

ZeroAccess

230f4

神迹般存在 发表于 2015-8-6 21:14
怎么了？莫非你因为双击ZeroAccess中毒了？

之前的zeroaccess64位系统无法运行，这个不知道怎样。我周末会双击

神迹般存在

230f4 发表于 2015-8-6 21:25
之前的zeroaccess64位系统无法运行，这个不知道怎样。我周末会双击

建议虚拟机双击，实机双击有风险，而且有可能穿透沙箱。

神迹般存在

断簪 发表于 2015-8-6 21:20
ZeroAccess

ZeroAccess其实在开启安软并双击的情况下是基本没有问题的（楼上的安软都能拦截，绝大多数国内国外安软），但关键就是ZeroAccess在不开启安软或安软没有防御性的情况下是很危险的，因为它有疯狂的感染性，会锁驱动等。

电脑发烧友

火绒虚拟机双击测试：
测试环境：VM11 win7*32火绒配置：


意在测试最大防御强度，监控报读，所以关掉。

开始双击：
第一个弹窗按照推荐操作放行。

自动阻止的行为。

一共就这两个了。

测试结果：
我想静静
PS:双击后无法关机。

第二次测试：附带规则。
测试环境：VM11 win7*32
火绒配置：和第一次差不多，唯一不一样的就是开启了自定义规则。开始双击：

操作程序：C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
触犯规则：运行过滤----第六道滤网《敏感指令过滤》
用户操作：已阻止
操作类型：读取
操作文件：C:\Windows\System32\net.exe

操作程序：C:\Users\wuliao\Desktop\virus.exe
触犯规则：文件过滤----第一道滤网《核心目录禁改》
用户操作：已阻止
操作类型：写入
操作文件：C:\Windows\System32\drivers\cdrom.sys

操作程序：C:\Users\wuliao\Desktop\virus.exe
行为说明：连接远程端口
访问地址：远程 94.75.199.163:8083[荷兰]

随便取了几个，剩下的懒得发上来了。

此时重启，重启后运行PCHUNTER，报告发现ZA，火绒快速扫描安全。

此时用360急救箱扫描



扫描完成，截图如下。
第一个无视，安装火绒之后独立版就无效了，第二第三个无视，根据经验每次扫描都会扫出这两个，不信的可以取试试。
第四个不要无视，第五个。。。。。。回收站。
重启后再次运行PCHUNTER，没有报ZA。


测试结果：
依旧无法完美防御，但是经过杀毒后是可以恢复正常的。

PS：时间原因，不再对第一次测试进行扫描

断簪

VirSCAN.org Scanned Report :
Scanned time   : 2015-08-06 21:28:11
Scanner results: 35%的杀软(14/39)报告发现病毒
File Name      : ZeroAccess.rar
File Size      : 62049 byte
File Type      : application/x-rar
MD5            : ce065a375037dc8e89c7d1c408247c31
SHA1           : 3d3b30ca836c810d763e48acfdb39ccf93aac5fd
Online report  : http://r.virscan.org/report/9881ba25b3bdd58bd1992c9dc382ecbc

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
ANTIVIR        1.9.2.0        1.9.159.0         7.11.253.194   32   TR/Drop.Fjord.A               
AVAST!         150805-1       4.7.4             2015-08-05     34   Win32:MalOb-IJ [Cryp]         
AVG            2109/8526      10.0.1405         2015-01-30     1    没有发现病毒            
ArcaVir        1.0            2011              2014-05-30     8    没有发现病毒            
Authentium     4.6.5          5.3.14            2013-12-01     1    没有发现病毒            
Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        1    没有发现病毒            
Bitdefender    7.58879        7.90123           2015-01-16     1    没有发现病毒            
ClamAV         20764          0.97.5            2015-08-04     1    Win.Trojan.Fakeav-19383      
Comodo         15023          5.1               2015-08-01     3    没有发现病毒            
Dr.Web         5.0.2.3300     5.0.1.1           2015-08-03     32   Trojan.Sniff.130              
F-PROT         4.6.2.117      6.5.1.5418        2015-08-05     1    W32/Sirefef.C.gen!Eldorado   
F-Secure       2015-08-01-02  9.13              2015-08-01     1    Gen:Variant.Kazy.11914        
Fortinet       27.158, 27.158 5.1.158           2015-08-04     1    没有发现病毒            
GData          24.3819        24.3819           2014-08-29     7    没有发现病毒            
IKARUS         1.06.01        V1.32.31.0        2015-08-05     18   Trojan-Downloader.Win32.ZAcces
NOD32          1777           3.0.21            2015-06-12     1    没有发现病毒            
QQ手机       1.0.0.0        1.0.0.0           2015-08-06     4    没有发现病毒            
Quickheal      14.00          14.00             2014-06-14     2    没有发现病毒            
SOPHOS         5.17           3.60.0            2015-08-01     16   Mal/FakeAV-IS                 
Sunbelt        3.9.2589.2     3.9.2589.2        2014-06-13     1    没有发现病毒            
TheHacker      6.8.0.5        6.8.0.5           2014-06-12     1    没有发现病毒            
Vba32          3.12.26.4      3.12.26.4         2015-08-05     4    Trojan.AET.31507              
ViRobot        2.73           2.73              2015-01-30     1    没有发现病毒            
VirusBuster    15.0.985.0     5.5.2.13          2014-12-05     15   Trojan.FakeAV!rd2jQ3VTOhg     
a-squared      9.0.0.4157     9.0.0.4157        2014-07-30     1    没有发现病毒            
nProtect       9.9.9          9.9.9             2013-12-27     2    没有发现病毒            
卡巴斯基   5.5.33         5.5.33            2014-04-01     19   Trojan.Win32.FakeAV.aimq      
奇虎360      1.0.1          1.0.1             1.0.1          6    Trojan/Win32.w2b.ui           
安博士V3    9.9.9          9.9.9             2013-05-28     3    没有发现病毒            
安天         AVL SDK 3.0    2014112615531100  2014-11-26     1    没有发现病毒            
江民杀毒   16.0.100       1.0.0.0           2015-07-30     16   没有发现病毒            
熊猫卫士   9.05.01        9.05.01           2014-06-15     3    没有发现病毒            
瑞星         25.17.00.04    25.17.00.04       2014-06-02     1    没有发现病毒            
百度杀毒   1.0            1.0               2014-04-02     1    没有发现病毒            
费尔         17.47.17308    1.0.2.2108        2014-06-16     6    没有发现病毒            
赛门铁克   20150804.001   1.3.0.24          2015-08-04     1    Trojan.Gen                    
趋势科技   11.834.03      9.500-1005        2015-08-05     2    没有发现病毒            
迈克菲      7879           5400.1158         2015-07-31     8    Trojan-FAJA!31044131A1BC      
金山毒霸   2.1            2.1               2013-09-22     2    没有发现病毒