一个勒索威胁，看起来很好玩，有玩的没有【可能是Zbot】

请叫我德玛西亚

sep  现在还没有入库......
SONAR.ProcHijack!gen1

尘梦幽然

驭龙 发表于 2015-11-23 10:05
谁知道啊，不过按理说SEP的驱动没有那么弱才对，ZA是针对它当初的问题才攻破的，其他不应该让SEP驱动出现 ...

现在ZA对付不了诺顿的驱动了。至于诺顿现在为什么依然不能正常解除ZA，主要是因为ZA对系统文件有修改。

驭龙

尘梦幽然 发表于 2015-11-23 11:11
现在ZA对付不了诺顿的驱动了。至于诺顿现在为什么依然不能正常解除ZA，主要是因为ZA对系统文件有修改。

我不是说当初么？又没有说现在，不过奇怪的是，连红伞这样没有驱动级Rootkits技术的都能删除ZA，这个说不过去啊，更何况其他家如TrendMicro和McAfee都能干掉感染以后的ZA

尘梦幽然

驭龙 发表于 2015-11-23 11:25
我不是说当初么？又没有说现在，不过奇怪的是，连红伞这样没有驱动级Rootkits技术的都能删除ZA，这个说不 ...

要看具体变种，有的时候删除ZA不难，难就难在它修改的系统服务和相关系统文件。

驭龙

尘梦幽然 发表于 2015-11-23 12:08
要看具体变种，有的时候删除ZA不难，难就难在它修改的系统服务和相关系统文件。

上次玩的变种，不就是随机改驱动，诺顿干不掉，其他干掉ZA的不少

算了，反正现在的ZA也没多少，不用担心的

1518589226

[mw_shl_code=html,true]23.11.2015 13.53.43;下载被阻止;https://att.kafan.cn/forum.php?mo ... DY1NDUz//bot.exe;Ad Muncher;木马程序;11/23/2015 13:53:43
[/mw_shl_code]

毛豆新人

CIS （关闭云查询）miss all ，包括本体和衍生物     上报毛豆
沙箱下：  在Users\Admin\AppData\Roaming\下创建文件夹，名字随机，其中一个文件夹的exe负责调用cmd和explorer，explorer持续访问dwm.exe的内存
C:\Desktop\bot.exe         虚拟化运行
C:\VTRoot\HarddiskVolume2\Users\Admin\AppData\Roaming\Esud\uvdo.exe         虚拟化运行          
C:\Windows\SysWOW64\explorer.exe         虚拟化运行          
C:\Windows\SysWOW64\cmd.exe         虚拟化运行          
C:\Windows\SysWOW64\explorer.exe         访问内存         C:\Windows\System32\dwm.exe
C:\Windows\SysWOW64\explorer.exe         访问内存         C:\Windows\System32\dwm.exe
C:\Windows\SysWOW64\explorer.exe         访问内存         C:\Windows\System32\dwm.exe ... ... 继续该动作

二次双击，衍生物qesar的检测报告：https://www.virustotal.com/zh-tw ... nalysis/1448258809/

欧阳宣

f-secure
Trojan.GenericKD.2887324
D:\Virus\huge\bot.exe: Cleaned up

陌上~烟雨遥

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL：

https://att.kafan.cn/forum.php?mo ... DY0Mjc1M3wxODY1NDUz

原因：

对象感染源 Trojan-Spy.Win32.Zbot.wemw
消息生成日期： 2015/11/23 16:50:02

fuzhk

nick20010117 发表于 2015-11-22 23:10
小a测试最近不如avg了哈
话说你的积分终于过万了

哦？我没注意，现在不会升级了，所以升级没提示。