收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 呼唤双击敢死队,谁来双击玩这个Zbot!GO 变种,切记, ...
123
返回列表 发新帖
楼主: 驭龙
 收起左侧

[病毒样本] 呼唤双击敢死队,谁来双击玩这个Zbot!GO 变种,切记,请不要实机测试

[复制链接]
230f4
发表于 2015-12-1 22:43:39 | 显示全部楼层
nick20010117 发表于 2015-12-1 22:03
@aboringman
FS的双击实在是比AVG无聊多了
修改MD5后双击

各家主防有各的特点
回复

举报

太极伞
头像被屏蔽
发表于 2015-12-2 09:14:18 | 显示全部楼层
虚拟机昨天挂了,windows10还是不行
回复

举报

dd0616
发表于 2015-12-2 13:38:48 | 显示全部楼层
不知道你们在说什么鸟语
回复

举报

lixihong10
发表于 2015-12-2 16:06:43 | 显示全部楼层
本帖最后由 lixihong10 于 2015-12-2 16:08 编辑

故事的开端:实机双击。











一直读进程内存~~~~~


读完就添加启动项


联网操作






继续添加启动。。。。。



详细内容:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

liulangzhecgr
发表于 2015-12-2 16:25:00 | 显示全部楼层
win7 X 32  applocker 之下 貌似无力运行...

2015/12/2 16:13:36    创建新进程    允许
进程: c:\windows\explorer.exe
目标: g:\download\pdf\pdf.exe
命令行: "G:\Download\pdf\pdf.exe"
规则: [应用程序]*

2015/12/2 16:13:59    修改注册表值    阻止
进程: g:\download\pdf\pdf.exe
目标: HKEY_CURRENT_USER\Software\SogouInput.user\SogouComponentFirstLoad
值: 0x565ea839(1449044025)
规则: [应用程序组]病毒测试 -> [注册表]*

2015/12/2 16:14:07    创建文件夹    允许
进程: g:\download\pdf\pdf.exe
目标: C:\Users\Administrator\AppData\Roaming\Cyhib
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:14:13    修改文件    阻止
进程: g:\download\pdf\pdf.exe
目标: C:\Users\Administrator\AppData\LocalLow\SogouPy\verify.ini
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:14:33    创建文件    允许
进程: g:\download\pdf\pdf.exe
目标: C:\Users\Administrator\AppData\Roaming\Cyhib\kaby.exe
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:14:42    创建注册表项    允许
进程: g:\download\pdf\pdf.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Saodekwuyq
规则: [应用程序组]病毒测试 -> [注册表]*

2015/12/2 16:15:17    创建文件    允许
进程: g:\download\pdf\pdf.exe
目标: C:\Users\Administrator\AppData\LocalLow\kaudi.onl
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:15:29    创建文件    允许
进程: g:\download\pdf\pdf.exe
目标: C:\Users\Administrator\AppData\Local\Temp\UYU34FC.bat
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:16:00    创建新进程    允许
进程: g:\download\pdf\pdf.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\ADMINI~1\AppData\Local\Temp\UYU34FC.bat"
规则: [应用程序组]病毒测试 -> [子应用程序]*

2015/12/2 16:16:17    修改文件    阻止
进程: g:\download\pdf\pdf.exe
目标: C:\ProgramData\SogouInput\Components\Picface\Cloud\sgim_picface_cloud_bak.bin
规则: [应用程序组]病毒测试 -> [文件]*

2015/12/2 16:16:25    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: G:\Download\pdf\pdf.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

回复

举报

haoge250
发表于 2015-12-2 18:37:16 来自手机 | 显示全部楼层
pal家族 发表于 2015-12-1 16:13
不是我不想双击,是最近墨家的样本太多了,工作日实在没法双击了
而且我没有办法不让SW调用特征码。。。。

卡巴一但入库,除非全部关闭防护,不然各个防护都能单独联动杀。
回复

举报

pal家族
发表于 2015-12-2 18:47:43 | 显示全部楼层
haoge250 发表于 2015-12-2 18:37
卡巴一但入库,除非全部关闭防护,不然各个防护都能单独联动杀。

好像我不知道一样。。。。。
回复

举报

Renascence
发表于 2015-12-2 19:31:32 | 显示全部楼层
入库了的玩意儿

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

驭龙
 楼主| 发表于 2015-12-2 19:33:21 | 显示全部楼层
Renascence 发表于 2015-12-2 19:31
入库了的玩意儿

哈,一年多的样本如果还不入库,那才是有问题,哈哈
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 22:10 , Processed in 0.110809 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表