测测主防（请勿实机运行）

pal家族

lixihong10 发表于 2015-11-18 19:52
沙盘中运行的，结果很多程序蹦了，QQ不能输入了。怀疑漏沙

根据卡巴和毒霸的报毒名，这玩意是感染型的啊？
有相关特点嘛？

wjy19800315

lixihong10 发表于 2015-11-18 20:07
现在能了。我找下程序崩溃的原因去。估计和键盘等有关~。

(￣▽￣)"
如果真的漏沙
那就麻烦了
据说会感染bios与扇区

lixihong10

pal家族 发表于 2015-11-18 20:10
根据卡巴和毒霸的报毒名，这玩意是感染型的啊？
有相关特点嘛？

ESET爆的 xorer 百度好像磁碟机什么的。



包括沙盘自己也蹦了。。

lixihong10

wjy19800315 发表于 2015-11-18 20:11
(￣▽￣)"
如果真的漏沙
那就麻烦了

  问题事件名称:        APPCRASH
  应用程序名:        egui.exe
  应用程序版本:        8.0.312.0
  应用程序时间戳:        54c8de34
  故障模块名称:        mfc110u.dll
  故障模块版本:        11.0.60610.1
  故障模块时间戳:        51b4fcce
  异常代码:        c0000005
  异常偏移:        0000000000265cb1
  OS 版本:        6.1.7601.2.1.0.256.1
  区域设置 ID:        2052
  其他信息 1:        1655
  其他信息 2:        165591bfd8c13be1b99f8ec90cff09f4
  其他信息 3:        cfe4
  其他信息 4:        cfe47f64caf85279a827f2fedbec195d

继续找原因去~

nick20010117

sanhu35

删除自启动，修改com文件夹权限，修改隐藏文件的设置，破坏安全模式，发消息exp


2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

2015-11-18 21:59:33    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

2015-11-18 21:59:33    修改注册表值    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*; *Hidden*

2015-11-18 21:59:33    删除注册表项    阻止并结束进程
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
规则: [注册表组]秒杀高危 -> [注册表]*\System\*controlset*\Control\Safeboot*

2015-11-18 21:59:35    向其他进程发送消息    阻止
进程: c:\documents and settings\administrator\桌面\bouiyhgfd\hfvhgygugh.exe
目标: c:\windows\explorer.exe
消息: 0x0419
规则: [应用程序]*

1083086612

·

cwl12315

衍生物报Trojan:Win32/Killav.gen!A
费尔关闭实时防御，双击样本，被Kill，已经打不开了。
windows defender不断的报毒。
comodo也进不去界面了

wjy19800315

cwl12315 发表于 2015-11-18 22:52
衍生物报Trojan:Win32/Killav.gen!A
费尔关闭实时防御，双击样本，被Kill，已经打不开了。
windows defen ...

漏了你就悲剧了

cwl12315

wjy19800315 发表于 2015-11-18 23:00
漏了你就悲剧了

应该没漏。
本来还开着comodo的进程列表，想看看行为，结果行为太多根本看不起。
然后主界面打不开，不过没关系，任务管理器里把不断执行病毒进程的父进程搞掉，病毒进程自己就无法运行了。
然后就OK了，comodo、费尔都能打开了。

费尔开实时防御，直接基因杀掉，关了实时防御之后双击动态防御居然被过，感觉不科学，我一会再试下。
--------------------------------------------------------------
动态防御级别改到高，双击依然阵亡。。。这个自保有点蛋疼
--------------------------------------------------------------
毛豆墙已经拉黑，文件评级为恶意，双击样本沙盒规则阻止运行并隔离