刚截获的病毒，有没有懂vbscript 的？

显示全部楼层 · 发表于 2015-8-9 21:47:18

Norton拦截，Web Attack：Win32.Ramnit Attack 4

显示全部楼层 · 发表于 2015-8-9 22:22:35

米兔~~~~~

显示全部楼层 · 发表于 2015-8-9 22:42:41

在沙盘双击，eset拦截

显示全部楼层 · 发表于 2015-8-9 23:49:31

VBS的作用就是生成EXE再运行，PE貌似是UPX3.03加壳，病毒本身比较老
这一堆十六进制字符串，实际上就是病毒程序的机器码，"4D 5A"对应的ASCII是MZ，一看就是PE文件头
首先用记事本生成一个空白的EXE文件，然后启动十六进制编辑器，打开EXE，将这一段十六进制字符粘贴进去，粘贴类型为“ASCII HEX”，得到一个EXE。然后COMODO就报毒了
http://r.virscan.org/report/09624d85dca2a42db1e21f9a25f4cd5d
http://fireeye.ijinshan.com/anal ... b6c8c129f889db32ca6

显示全部楼层 · 发表于 2015-8-10 01:17:55

nazisoft 发表于 2015-8-9 23:49
VBS的作用就是生成EXE再运行，PE貌似是UPX3.03加壳，病毒本身比较老
这一堆十六进制字符串，实际上就是病 ...

哇，。。还可以这样，受教了。

显示全部楼层 · 发表于 2015-8-10 01:18:57

QQn1 发表于 2015-8-9 22:42
在沙盘双击，eset拦截

Sandboxie目前还不支持windows10 64位。

显示全部楼层 · 发表于 2015-8-10 18:24:43

crysman 发表于 2015-8-10 01:18
Sandboxie目前还不支持windows10 64位。

先用着win8.1吧

显示全部楼层 · 发表于 2015-8-10 18:36:12

QQn1 发表于 2015-8-10 18:24
先用着win8.1吧

8.1 驱动装不上哦，反而win10 的驱动，在安装好系统之后，直接联网更新了，所有驱动都正常工作。。。但是又不想回到win7 了。。。暂时先用着吧，等系统补丁和软件更新啦

显示全部楼层 · 发表于 2015-8-16 18:40:58

网页木马这个钓鱼的吗

显示全部楼层 · 发表于 2015-8-16 21:18:48

sophos

[其他相关] 刚截获的病毒，有没有懂vbscript 的？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块