ZeroAccess 样本x1

zhanghongyuan1

驭龙 发表于 2015-8-9 18:43
Avast好像是最近测试ZA中，为数不多被ZA打残的安全软件了吧，Avast的自我保护怎么了

这结果实在意外，现在三A里应该就AVIRA能够较好的防御了吧
p.s. FS有测过么，结果怎么样？

驭龙

zhanghongyuan1 发表于 2015-8-9 19:00
这结果实在意外，现在三A里应该就AVIRA能够较好的防御了吧
p.s. FS有测过么，结果怎么样？

是啊，现在好像就Avira还可以，虽然也不完美，不能像DrWeb和McAfee那样，但Avira毕竟没有被灭，而且把ZA文件灭掉了。

FS不清楚，我没有测试

zhanghongyuan1

驭龙 发表于 2015-8-9 19:02
是啊，现在好像就Avira还可以，虽然也不完美，不能像DrWeb和McAfee那样，但Avira毕竟没有被灭，而且把ZA ...

哦，那一会我虚拟机试试

弟大勿勃

驭龙 发表于 2015-8-9 19:02
是啊，现在好像就Avira还可以，虽然也不完美，不能像DrWeb和McAfee那样，但Avira毕竟没有被灭，而且把ZA ...

就算ZA干掉诺顿的进程也没用啊，那2个进程不过是UI而已

神迹般存在

livethings 发表于 2015-8-7 23:36
新人报道！学了火绒那位我也试试玩双击~第一次测试啊，我就模仿了别人怎么测的。。。
测试环境  win7 x86  ...

感谢测试，人气稍后补上

神迹般存在

驭龙 发表于 2015-8-9 18:43
Avast好像是最近测试ZA中，为数不多被ZA打残的安全软件了吧，Avast的自我保护怎么了

龙大来了啊，希望龙大给测试员提些建议，方便我编辑告诉这些测试的该怎么测

驭龙

神迹般存在 发表于 2015-8-9 19:33
龙大来了啊，希望龙大给测试员提些建议，方便我编辑告诉这些测试的该怎么测

其实没啥建议的，大家的测试方法都差不多

haoge250

zhanghongyuan1 发表于 2015-8-9 19:04
哦，那一会我虚拟机试试

有空测试下卡巴和BD吧，哈哈，毕竟都是前几名，居然没人测试

神迹般存在

haoge250 发表于 2015-8-9 20:07
有空测试下卡巴和BD吧，哈哈，毕竟都是前几名，居然没人测试

我来测试

liulangzhecgr

测试结果总结如下：
1.修改引导区；
2.修改驱动文件权限；
3.修改驱动文件；
4.貌似以前有个创建畸形文件夹，此样本没有此行为。


2015-8-9 19:46:40    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\收藏病毒文件夹\virus\virus.exe
命令行: "E:\downloads\收藏病毒文件夹\virus\virus.exe"
规则: [应用程序组]病毒测试

2015-8-9 19:46:52    加载动态链接库    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\newdev.dll
规则: [应用程序组]病毒测试

2015-8-9 19:46:57    向其他进程复制句柄    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
句柄: (File) E:\downloads\收藏病毒文件夹\virus\virus.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:00    向其他进程复制句柄    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
句柄: (Process) e:\downloads\收藏病毒文件夹\virus\virus.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:04    修改其他进程的内存 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:06    在其他进程中创建线程    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:09    修改其他进程的内存    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:11    修改其他进程的线程    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\smss.exe
规则: [应用程序组]病毒测试

2015-8-9 19:47:59    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\ntfs.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:00    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\intelppm.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:05    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\usbehci.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:08    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\serial.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:10    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\parport.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:12    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\i8042prt.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:17    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\cdrom.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:21    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\redbook.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:24    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:28    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\rasl2tp.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:36    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\ndiswan.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:40    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\raspppoe.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:42    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\psched.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:43    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\rdpdr.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:45    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\termdd.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:47    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\update.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:49    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\ndproxy.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:51    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\usbhub.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:52    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\npfs.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:54    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\ipsec.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:56    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\tcpip.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:57    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\netbt.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:49:59    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\afd.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:01    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\netbios.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:02    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\rdbss.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:04    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\mrxsmb.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:05    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\kncbhnkg.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:07    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\wanarp.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:08    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\fips.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:10    修改文件权限 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\cdfs.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:17    创建注册表项    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.netbios
规则: [应用程序组]病毒测试 -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2015-8-9 19:50:20    修改注册表值    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.netbios\Type
值: 0x00000001(1)
规则: [应用程序组]病毒测试 -> [注册表]*

2015-8-9 19:50:21    修改注册表值    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.netbios\Start
值: 0x00000003(3)
规则: [应用程序组]病毒测试 -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2015-8-9 19:50:22    修改注册表值    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.netbios\ImagePath
值: \*
规则: [应用程序组]病毒测试 -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2015-8-9 19:50:26    修改其他进程的内存 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序组]病毒测试

2015-8-9 19:50:28    在其他进程中创建线程    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: c:\windows\system32\winlogon.exe
规则: [应用程序组]病毒测试

2015-8-9 19:50:34    修改文件 (2)    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: C:\WINDOWS\system32\drivers\netbios.sys
规则: [应用程序组]病毒测试 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2015-8-9 19:50:49    访问网络    允许
进程: e:\downloads\收藏病毒文件夹\virus\virus.exe
目标: TCP [本机 : 1040] ->  [94.75.199.163 : 8083]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015-8-9 19:51:16    删除文件    阻止
进程: c:\windows\system32\smss.exe
目标: E:\downloads\收藏病毒文件夹\virus\virus.exe
规则: [应用程序]c:\windows\system32\smss.exe -> [文件组]所有执行文件 -> [文件]*; *.exe