收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 ZeroAccess 样本x1
1234567下一页
返回列表 发新帖
楼主: 神迹般存在
 收起左侧

[病毒样本] ZeroAccess 样本x1

  [复制链接]
tg123321
发表于 2015-8-6 21:57:52 | 显示全部楼层
本帖最后由 tg123321 于 2015-8-6 22:16 编辑
神迹般存在 发表于 2015-8-6 21:31
ZeroAccess其实在开启安软并双击的情况下是基本没有问题的(楼上的安软都能拦截,绝大多数国内国外安软) ...


本人决定在虚拟机占位测试国内顶尖技术团队开发的新星——反黑安全卫士2015
扫描:认为木有威胁

双击:然而木有报警


打开日志查看,确认是病毒删除自身,没有开pc hunter的必要了


楼上用火绒的朋友心态太差了,你看这顶尖技术团队开发的东西都无能为力,反黑,玩的是心态

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
神迹般存在 + 1 根据版规,加1分以示鼓励

查看全部评分

回复

举报

a445441
发表于 2015-8-6 22:10:03 | 显示全部楼层
微点入库拦截
回复

举报

tg123321
发表于 2015-8-6 22:30:26 | 显示全部楼层
电脑发烧友 发表于 2015-8-6 21:41
火绒虚拟机双击测试:
测试环境:VM11 win7*32火绒配置:

你应该开自定义防护规则,写几个来辅助主防
回复

举报

电脑发烧友
发表于 2015-8-6 23:35:32 | 显示全部楼层
tg123321 发表于 2015-8-6 21:57
本人决定在虚拟机占位测试国内顶尖技术团队开发的新星——反黑安全卫士2015
扫描:认为木有威胁 ...

重新编辑了,加入规则,看一下把。
回复

举报

livethings
发表于 2015-8-7 00:18:46 | 显示全部楼层
230f4 发表于 2015-8-6 21:25
之前的zeroaccess64位系统无法运行,这个不知道怎样。我周末会双击

这边win7 x64无法运行
回复

举报

230f4
发表于 2015-8-7 00:20:38 | 显示全部楼层
livethings 发表于 2015-8-7 00:18
这边win7 x64无法运行

所以说都是泪
回复

举报

none1996
发表于 2015-8-7 09:30:31 | 显示全部楼层
诺顿扫描杀……
不过报的是Trojan.Gen
回复

举报

天耀群星
头像被屏蔽
发表于 2015-8-7 10:05:33 | 显示全部楼层
本帖最后由 天耀群星 于 2015-8-7 10:56 编辑

2015/8/7 05:54:09    向其他进程复制句柄    阻止并结束进程
进程: c:\users\administrator\desktop\virus.exe
目标: c:\windows\system32\smss.exe
句柄: (File) C:\Users\Administrator\Desktop\virus.exe
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————!!! -> [目标应用程序]c:\windows\*


再就是修改系统驱动文件夹里的sys文件权限。对MD来说是小菜菜!

2015/8/7 05:43:41    读文件    允许
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\ntfs.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件组]危险的可执行文件

2015/8/7 05:43:53    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\ntfs.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers; ntfs.sys

2015/8/7 05:43:56    读文件    允许
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\msrpc.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件组]危险的可执行文件

2015/8/7 05:43:59    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\msrpc.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers; msrpc.sys

2015/8/7 05:44:02    读文件    允许
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\cmderd.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件组]危险的可执行文件

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\cmderd.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers; cmderd.sys

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\cdrom.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\cmdguard.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\vga.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\RDPCDD.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\RDPENCDD.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\RDPREFMP.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\msfs.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\npfs.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\tdx.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\cmdhlp.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\kmodurl.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\afd.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\netbt.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\inspect.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\netbios.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\serial.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\wanarp.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\termdd.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\rdbss.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\nsiproxy.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\mssmbios.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\mndncaoo.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:08    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\DMProtect.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\discache.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\csc.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\dfsc.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\blbdrive.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\BAPIDRV.SYS
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\intelppm.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\dxgkrnl.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\hdaudbus.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\usbuhci.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\usbehci.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\serenum.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\parport.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\i8042prt.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\kbdclass.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\CompositeBus.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\rasl2tp.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\ndistapi.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\ndiswan.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\raspppoe.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\rassstp.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\mouclass.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\umbus.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\usbhub.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    修改文件权限    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: C:\Windows\System32\drivers\ndproxy.sys
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\administrator\desktop\virus.exe -> [文件]c:\windows\system32\drivers\*

2015/8/7 05:44:09    访问网络    阻止
进程: c:\users\administrator\desktop\virus.exe
目标: TCP [本机 : 50845] ->  [94.75.199.163 : 8083]
规则: [应用程序组]待测试组-未知程序       ????? -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


回复

举报

Microsoftheihei
发表于 2015-8-7 10:33:30 | 显示全部楼层
被ns主防干掉
回复

举报

ELOHIM
发表于 2015-8-7 10:36:19 | 显示全部楼层
本帖最后由 ELOHIM 于 2015-8-7 10:38 编辑

SCEP报告病毒名称为:Trojan:Win32/Sirefef:BB
SEP在关闭全部监控的前提下也弹窗。看来是管不住它了。
它报告病毒名称为:Trojan.FakeAV!gen39
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-21 23:20 , Processed in 0.111648 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表