Zbot算什么，看看这个Win32/Vawtrak 注入、盗号、阻止安软、远控、下载威胁，一应俱全

nick20010117

wangfeng66 发表于 2015-11-13 20:40
DRWEB 11   半月前的病毒库　drweb 未入库不杀。关闭监控 双击测试DPH    DPH Kill 看图。

@驭龙
看看DPH

nick20010117

bullguard

虽然显示阻止成功，电脑仍然死机，按钮无效。多次测试结果相同，说明不是偶然。
怎么回事@驭龙

电脑发烧友

我这里跑行为在注入explorer和创建一个文件夹之后就进程就没了。重启之后开着虚拟机去看电影，回来之后发现lapso文件夹下的程序干坏事。

驭龙

nick20010117 发表于 2015-11-13 21:25
bullguard

虽然显示阻止成功，电脑仍然死机，按钮无效。多次测试结果相同，说明不是偶然。

这主防应该回去再练一练

nick20010117

驭龙 发表于 2015-11-14 07:49
这主防应该回去再练一练

重启以后系统无异常，这点还是不错的，行为拦截率还是比较高的
但是AV-C真实世界防护成绩感人啊，不知是不是有问题
AV-TEST中表现却相当不错
为何有这样的差距

天耀群星

1、以修改权限打开系统进程explorer.exe

2 . 修改注册表值    阻止              [设置开机启动】
进程: c:\users\ljx\desktop\nhost\nhost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{FAFF54F7-6401-45CD-8E49-49936FFAB1C9}
值: "C:\ProgramData\Bamwu\RabFacq.exe"
规则: [应用程序组]待测试组-未知程序       ????? -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

3    删除文件    阻止并结束进程         【删除自身】
进程: c:\users\ljx\desktop\nhost\nhost.exe
目标: C:\Users\ljx\Desktop\nhost\nhost.exe
规则: [应用程序组]待测试组-未知程序       ????? -> [文件组]↑[5]<秒杀>文件感染

a445441

虚拟机运行不起来呢

nick20010117

a445441 发表于 2015-11-14 13:14
虚拟机运行不起来呢

我是实机运行的

sanhu35

不入组运行，当跑沙盘

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]进程保护

2015-11-14 20:26:39    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Kevoxz
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\AoqIcce\GonOsba.exe"
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-14 20:26:39    删除文件    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: C:\Documents and Settings\Administrator\桌面\nhost\nhost.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-14 20:26:39    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\AoqIcce
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]进程保护

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\program files\vmware\vmware tools\vmtoolsd.exe
规则: [应用程序]* -> [目标应用程序]【授权】可信任组 -> [应用程序]c:\program files\vmware\vmware tools\vmtoolsd.exe

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\program files\vmware\vmware tools\tpautoconnect.exe
规则: [应用程序]*

2015-11-14 20:26:39    修改其他进程的内存    阻止
进程: c:\documents and settings\administrator\桌面\nhost\nhost.exe
目标: c:\program files\tencent\qq\qqprotect\bin\qqprotect.exe
规则: [应用程序]*

hup

费尔已入库