收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 精睿样本测试(15.11.1)
12345678910... 19下一页
返回列表 发新帖
楼主: Flying_Bird
 收起左侧

[病毒样本] 精睿样本测试(15.11.1)

  [复制链接]
nick20010117
发表于 2015-11-1 13:41:55 | 显示全部楼层
驭龙 发表于 2015-11-1 13:39
不知道,我win 8.1系统测试失败

我的win7什么时候试试双击
zbot和za相比哪个危险性更大?
回复

举报

aboringman
发表于 2015-11-1 13:43:19 来自手机 | 显示全部楼层
驭龙 发表于 2015-11-1 13:36
这家伙不知道为啥,自动退出,而且没有任何破坏性动作

扫描确认Zbot

我这边正在准备测试AVG,等一下来看看能不能拦截
回复

举报

驭龙
发表于 2015-11-1 13:43:45 | 显示全部楼层
nick20010117 发表于 2015-11-1 13:41
我的win7什么时候试试双击
zbot和za相比哪个危险性更大?

各有千秋的威胁,我现在正准备win 7系统,实在不行,就把虚拟机工具卸载试一试了
回复

举报

yuzhi3366853
发表于 2015-11-1 13:44:02 | 显示全部楼层
aboringman 发表于 2015-11-1 13:43
我这边正在准备测试AVG,等一下来看看能不能拦截

我猜能
回复

举报

nick20010117
发表于 2015-11-1 13:44:35 | 显示全部楼层
aboringman 发表于 2015-11-1 13:43
我这边正在准备测试AVG,等一下来看看能不能拦截

关注中
回复

举报

aboringman
发表于 2015-11-1 13:55:51 来自手机 | 显示全部楼层
yuzhi3366853 发表于 2015-11-1 13:44
我猜能

之前测ZA的时候IDP就漏了,这次恐怕也凶多吉少,等我准备好了再来体验下之前那种刺激的感觉。
回复

举报

yuzhi3366853
发表于 2015-11-1 14:08:29 | 显示全部楼层
aboringman 发表于 2015-11-1 13:55
之前测ZA的时候IDP就漏了,这次恐怕也凶多吉少,等我准备好了再来体验下之前那种刺激的感觉。

哈哈,备份好东西哦
回复

举报

白露为霜
发表于 2015-11-1 14:12:41 | 显示全部楼层
驭龙 发表于 2015-11-1 12:38
我去测怎么样?等一会,我去准备虚拟机

KFA放弃双击
回复

举报

nick20010117
发表于 2015-11-1 14:13:18 | 显示全部楼层
aboringman 发表于 2015-11-1 13:55
之前测ZA的时候IDP就漏了,这次恐怕也凶多吉少,等我准备好了再来体验下之前那种刺激的感觉。

我测试的时候也漏了,并且引擎无法调用。avg驱动被锁
回复

举报

驭龙
发表于 2015-11-1 14:16:34 | 显示全部楼层
aboringman 发表于 2015-11-1 13:43
我这边正在准备测试AVG,等一下来看看能不能拦截

我Windows 7系统是MSE,而且是一个月前的特征库,同时无法单独关闭文件监控,不能测主防,所以彻底关闭监控,双击样本

样本成功注入


成功添加启动项


恢复MSE监控,注销系统,重新登录,一个月之前的MSE特征库无法杀样本的衍生物。


但Zbot对MSE的注入攻击可能失败了,MSE安然无恙。

同时MSE发动多次遥测
BEGIN BM telemetry
GUID:{39E85D1B-C00C-A30E-7746-C53417994A4A}
TelemetryName:Behavior:Win32/OpenExplorerProcess
SignatureID:23862338556417
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
END BM telemetry

Internal signature match:subtype=Persist, sigseq=0x00000555038C655E, signame=#PERSIST_HSTR:UnsignedNSIS, cached=false, resource="C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe"

BEGIN BM telemetry
GUID:{BB8842DA-AD80-7BF0-2118-43034213287D}
TelemetryName:Behavior:Win32/MultiInjector
SignatureID:59046271144977
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
TargetFileName:C:\Windows\System32\taskhost.exe
END BM telemetry

Internal signature match:subtype=Persist, sigseq=0x00000555038C655E, signame=#PERSIST_HSTR:UnsignedNSIS, cached=false, resource="C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe"

BEGIN BM telemetry
GUID:{67A343EA-87EC-6748-DCD9-09B082121CF9}
TelemetryName:Behavior:Win32/AppdataInjector
SignatureID:76639094139797
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
TargetFileName:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
END BM telemetry

Internal signature match:subtype=Persist, sigseq=0x00000555038C655E, signame=#PERSIST_HSTR:UnsignedNSIS, cached=false, resource="C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe"

BEGIN BM telemetry
GUID:{2FD33AAC-CBE1-5054-8228-E128EEF336C4}
TelemetryName:Behavior:Win32/InjectedRemoteThreadExplorer
SignatureID:23861090166086
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
TargetFileName:C:\Windows\explorer.exe
END BM telemetry

Internal signature match:subtype=Persist, sigseq=0x00000555038C655E, signame=#PERSIST_HSTR:UnsignedNSIS, cached=false, resource="C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe"

BEGIN BM telemetry
GUID:{F16FD492-ED83-3E49-5F52-63BD5A0A1789}
TelemetryName:Behavior:Win32/MultiInjector2
SignatureID:76637621234586
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
TargetFileName:C:\Windows\System32\taskhost.exe
END BM telemetry

Internal signature match:subtype=Persist, sigseq=0x00000555038C655E, signame=#PERSIST_HSTR:UnsignedNSIS, cached=false, resource="C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe"

BEGIN BM telemetry
GUID:{7B3E2170-B6F7-9A0F-352B-AB4D11D0062E}
TelemetryName:Behavior:Win32/InjectRemoteThreadInMSAV
SignatureID:129414677452474
ProcessID:964
ProcessCreationTime:130908312975287171
SessionID:2
CreationTime:11-01-2015 14:01:37
ImagePath:C:\Users\win7\AppData\Roaming\Ywuwu\qeytroe.exe
TargetFileName:C:\Program Files\Microsoft Security Client\msseces.exe
END BM telemetry

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12345678910... 19下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-20 20:02 , Processed in 0.094323 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表