很牛的一个银行签名免杀病毒！存在了几个月都没能杀掉它。

租车司机

这个毒用银行来做签名免杀，至今已有几个月时间,都没有杀毒器能杀掉他的签名文件,病毒厉害之极.!

请叫我德玛西亚

@230f4 来玩玩   挺nb的  哈哈  
双击 360进入网购模式（这tm进游戏模式还差不多）访问可疑网站 360拦截    桌面多了个百度图标  

pal家族

双击！卡巴斯基杀掉一个黑文件，白文件没有拦截。


这个有点复杂，又是cf的，又是农行的白文件。

释放物还有：

不过是白文件

截止编辑时，主要组件已经被拉黑了。

xu3160668

双击来了  杀了个衍生物  

狐狸糊涂

230f4 发表于 2015-11-25 13:23
@狐狸糊涂 试试BD

BDIS双击拦截..

sanhu35

另一个白+黑   简单行为。








2015-11-25 21:17:22    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\Program Files\limit
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-25 21:17:22    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\QQ图片20150725114814.jpg
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-25 21:17:22    修改文件    阻止
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-25 21:17:22    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\limit
规则: [文件组]只读磁盘 -> [文件]c:\*

2015-11-25 21:17:22    修改文件    阻止
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件组]只读磁盘 -> [文件]c:\*





======================================

详细点

加载黑DLL
2015-11-25 21:18:42    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: c:\documents and settings\administrator\桌面\server\server\1\dbtoken_abc.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

创建第一个EXE
2015-11-25 21:19:10    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: c:\program files\limit\crossfire.exe
命令行: "C:\Program Files\limit\crossfire.exe"
规则: [应用程序组]『询问』病毒测试

要显示的装备图片





2015-11-25 21:19:10    创建文件    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\QQ图片20150725114814.jpg
规则: [应用程序组]『询问』病毒测试 -> [文件]*

修改IE浏览器安全区域设置
2015-11-25 21:19:19    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\95599.sh.cn\www\http
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*





2015-11-25 21:19:22    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\95599.cn\www\http
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-25 21:19:25    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: D:\My Documents
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-25 21:19:42    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd8f0176-638a-11e5-aa5b-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*


创建真正盗号 键盘记录的exe
2015-11-25 21:21:48    创建文件    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\limit\dllhost.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护系统文件

2015-11-25 21:21:57    创建文件    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\limit\config.dat
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2015-11-25 21:22:04    创建文件    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\limit\DBToken_ABC.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护系统文件

2015-11-25 21:22:12    创建文件    允许
进程: c:\documents and settings\administrator\桌面\server\server\1\inst.exe
目标: C:\WINDOWS\limit\load.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护系统文件

2015-11-25 21:22:33    修改文件    允许
进程: c:\windows\limit\dllhost.exe
目标: C:\Program Files\limit\crossfire.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护高危文件

2015-11-25 21:22:42    访问网络    允许
进程: c:\windows\limit\dllhost.exe
目标: TCP [本机 : 1404] ->  [183.0.4.194 : 8888]
规则: [应用程序组]『询问』病毒测试 -> [网络组]所有网络

2015-11-25 21:22:45    访问网络    允许
进程: c:\windows\limit\dllhost.exe
目标: TCP [本机 : 1403] ->  [0.0.0.0 : 0]
规则: [应用程序组]『询问』病毒测试 -> [网络组]所有网络

2015-11-25 21:22:58    底层键盘操作    阻止
进程: c:\windows\limit\dllhost.exe
规则: [应用程序组]『询问』病毒测试




监听网络 保存修改 记录到的键盘数据
2015-11-25 21:23:09    访问网络    允许
进程: c:\windows\limit\dllhost.exe
目标: TCP [本机 : 1412] ->  [183.0.4.194 : 8888]
规则: [应用程序组]『询问』病毒测试 -> [网络组]所有网络

2015-11-25 21:23:49    创建文件    允许
进程: c:\windows\limit\dllhost.exe
目标: C:\WINDOWS\system32\Windows.key
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2015-11-25 21:24:10    修改文件 (3)    允许
进程: c:\windows\limit\dllhost.exe
目标: C:\WINDOWS\system32\Windows.key
规则: [应用程序组]『询问』病毒测试 -> [文件]*

剩余的几个exe作用不明显


火绒的拦截

kavaner

KIS 2016 MISS 未测SW

pal家族

原来如此，竟然是系统属性的隐藏文件，吓死宝宝了。。。。。。。。。。

租车司机

pal家族 发表于 2015-11-25 12:56
哇，您真厉害，

里面有个名称为“1”的文件夹好不，你以为就一个lnk文件能有200多k大小？

毛豆新人

pal家族 发表于 2015-11-25 12:56
哇，您真厉害，

不是的，真实样本被视为“受保护的操作系统文件”而隐藏了


顺便  CIS miss，  viruscope无反应。

即使通过快捷方式调用cmd执行Inst.exe也会被入沙

pal家族

租车司机 发表于 2015-11-25 12:59
里面有个名称为“1”的文件夹好不好，自己打开压缩包看看，你以为就一个lnk文件能有200多k大小？

我操，是我疏忽了！
是在下输了！

pal家族

毛豆新人 发表于 2015-11-25 13:01
不是的，真是样本被视为“受保护的操作系统文件”而隐藏了

才看到！在下输了。

230f4

@狐狸糊涂 试试BD