ZeroAccess 样本x1

显示全部楼层 · 发表于 2015-8-7 12:04:36

tg123321 发表于 2015-8-6 21:57
本人决定在虚拟机占位测试国内顶尖技术团队开发的新星——反黑安全卫士2015
扫描：认为木有威胁 ...

反黑卫士......这货需要测吗

显示全部楼层 · 发表于 2015-8-7 16:38:07

不是说直播虚拟机卡巴吗。。
卡巴再见了？

显示全部楼层 · 发表于 2015-8-7 19:56:09

本帖最后由 aboringman 于 2015-8-7 20:44 编辑

AVG 虚拟机测试

简单说下结果：

关闭监控，保留IDP，运行后不久IDP报（需重启清除）
[mw_shl_code=css,true]Identity Protection 侦测
"威胁名称";"状态";"检测时间";"对象类型";"进程"
"Unknown, C:\Documents and Settings\Administrator\桌面\virus.exe";"已保护";"2015-8-7, 19:10:10";"文件或目录";""
[/mw_shl_code]

重启后，打开PC hunters，提示有ZA

运行AVG的防rootkit扫描，发现12个威胁（需重启）
[mw_shl_code=css,true]"防 Rootkit 扫描"
"中等严重性";"12";"12";"0"
"已启动：";"2015-8-7, 19:13:52"
"已完成：";"2015-8-7, 19:15:34"
"项目数：";"9769"
"启动者：";"Administrator"

"名称";"说明";"状态";"状态";"优先级"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserSetWindowLong hook -> PCHunter32.sys +0x73740";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserGetForegroundWindow hook -> PCHunter32.sys +0x733B0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserShowWindow hook -> PCHunter32.sys +0x73780";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserPostThreadMessage hook -> PCHunter32.sys +0x73550";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserFindWindowEx hook -> PCHunter32.sys +0x73310";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserMessageCall hook -> PCHunter32.sys +0x73820";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserWindowFromPoint hook -> PCHunter32.sys +0x736B0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"线内钩子 win32k.sys EngAcquireSemaphore+0x2640 -> PCHunter32.sys +0x73450";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserBuildHwndList hook -> PCHunter32.sys +0x73070";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserDestroyWindow hook -> PCHunter32.sys +0x737C0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserQueryWindow hook -> PCHunter32.sys +0x73590";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserSetParent hook -> PCHunter32.sys +0x73620";"已保护";"已修复";"中等"
[/mw_shl_code]

重启后，打开PC hunters仍提示有ZA，点击驱动模块项目后卡住后不久，AVG监控报了，但无济于事（干不掉本体驱动）
[mw_shl_code=css,true]Resident Shield 检测结果
"威胁名称";"状态";"检测时间";"对象类型";"进程"
"发现病毒 Rootkit-Agent, c:\WINDOWS\system32\drivers\afd.sys";"未解决";"2015-8-7, 19:35:34";"文件或目录";""
[/mw_shl_code]

显示全部楼层 · 发表于 2015-8-7 23:36:42

本帖最后由 livethings 于 2015-8-10 16:47 编辑

新人报道！学了火绒那位我也试试玩双击~第一次测试啊，我就模仿了别人怎么测的。。。
测试环境 win7 x86 小红伞15.0.8.656

高检测级别

首先直接报毒

双击之后：

扫描到一个驱动，同时系统驱动被锁

但是PCHunter没有报告发现ZA，倒是有一个可疑驱动对象（求教这算是防住了吗？？）

小红伞快速扫描正常

重启后小红伞扫描依旧正常，PCHunter里的那个可疑驱动也不见了。

用急救箱看看：

一切正常啊……（那为啥驱动还是锁着的0.0）
N次重启后也还是这样

第一次测试，请多指教！！！

另：全盘扫描扫出来两个

显示全部楼层 · 发表于 2015-8-7 23:46:59

本帖最后由 aboringman 于 2015-8-7 23:49 编辑

livethings 发表于 2015-8-7 23:36
新人报道！学了火绒那位我也试试玩双击~第一次测试啊，我就模仿了别人怎么测的。。。
测试环境 win7 x86 ...

你有没有关闭监控，看图的话应该是没有吧
红伞的话测不了主防，得测扫描啊。
还有就是这个样本很危险，不能实机测试

显示全部楼层 · 发表于 2015-8-7 23:47:45

aboringman 发表于 2015-8-7 23:46
你有没有关闭监控，不过看图的话应该是没有吧。
红伞的话测不了主防，得测查杀啊。

这样啊！小白一枚，请多指教~
（最近有点闲的无聊……）

显示全部楼层 · 发表于 2015-8-7 23:50:29

livethings 发表于 2015-8-7 23:47
这样啊！小白一枚，请多指教~
（最近有点闲的无聊……）

你是在虚拟机里测的？如果不是的话，要小心中招啊。

显示全部楼层 · 发表于 2015-8-7 23:53:31

aboringman 发表于 2015-8-7 23:50
你是在虚拟机里测的？如果不是的话，要小心中招啊。

多谢关心！是虚拟机里测的，VM11.（不会玩死物理机的。。咳咳）

刚刚全盘扫描了下，发现两个：

显示全部楼层 · 发表于 2015-8-8 08:32:56

2015-08-08 08:32:05 向其他进程复制句柄阻止
进程: c:\documents and settings\administrator\桌面\virus.exe
目标: c:\windows\system32\smss.exe
句柄: (File) C:\Documents and Settings\Administrator\桌面\virus.exe
规则: [应用程序组]主动防御_进程防护 -> [应用程序]* -> [目标应用程序]D+_入侵进程保护

2015-08-08 08:32:22 修改文件权限 (2) 阻止
进程: c:\documents and settings\administrator\桌面\virus.exe
目标: C:\WINDOWS\system32\drivers\ntfs.sys
规则: [应用程序]?* -> [文件组]询问_Xp_Sys

2015-08-08 08:32:23 修改文件权限阻止
进程: c:\documents and settings\administrator\桌面\virus.exe
目标: C:\WINDOWS\system32\drivers\HECI.sys
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-08-08 08:32:26 修改文件权限阻止并结束进程
进程: c:\documents and settings\administrator\桌面\virus.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序]?* -> [文件组]询问_Xp_Sys

显示全部楼层 · 发表于 2015-8-8 17:54:47

本帖最后由我是隔壁的小号于 2015-8-8 17:56 编辑

电脑发烧友发表于 2015-8-6 21:41
火绒虚拟机双击测试：
测试环境：VM11 win7*32火绒配置：

360急救箱处理之后病毒完全清除了吗？
34楼的360清理无效啊……
----------------
原谅我已经看不懂360的显示……
看你的PCHunter却似乎是没有问题的样子。

[病毒样本] ZeroAccess 样本x1

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块