Detection ratio: 4 / 55 一妈带着三熊孩子 各个都是非主流

XywCloud

SUD to BAV

275751198

胖福

好东西，母体被诺顿启发检测到，但三个崽儿都过诺顿，创建启动项，应该还有注入的行为，造成诺顿不断报邮件错误！





补充一下，多次注销系统再启动后SONAR终于有动作了！三个文件都双击一遍的话，虽然都会创建启动项，但每次注销系统后再启动，只有一个会随开机启动，SONAR杀了一个后，再次注销重又杀了一个！但有一个无法杀掉，还是造成诺顿报邮件错误！

墨家小子

胖福 发表于 2015-12-2 08:34
好东西，母体被诺顿启发检测到，但三个崽儿都过诺顿，创建启动项，应该还有注入的行为，造成诺顿不断报邮件 ...

Zbot？

蓝天二号

GD 全部下载拦截

胖福

墨家小子 发表于 2015-12-2 08:52
Zbot？

看样子像！

墨家小子

胖福 发表于 2015-12-2 09:19
看样子像！

2015/12/2 9:44:29,C:\Windows\explorer.exe,53,Allowed ;Execution of an application ("C:\Users\AAAAA\Desktop\KB09883203\KB09883203.exe" )

2015/12/2 9:44:39,C:\Users\AAAAA\Desktop\KB09883203\KB09883203.exe,53,Allowed ;Execution of an application ("C:\windows\SysWOW64\explorer.exe")

2015/12/2 9:44:41,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;Modifying protected registry key (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,KdjSaS011arbaaa1z)
2015/12/2 9:44:43,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;Modifying protected registry key (HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce,KdjSaS011arbaaa1z)

2015/12/2 9:45:05,C:\Windows\SysWOW64\explorer.exe,48,Allowed ;Outgoing network access
establish an outgoing network connection (TCP)
RemoteAddress=91.232.105.112 RemotePort=6600

驭龙

墨家小子 发表于 2015-12-2 08:52
Zbot？

看你一楼的日志，没有Zbot的特色行为，也就是在AppData\Roaming随机生成文件夹和程序名，这个不太想Zbot

墨家小子

驭龙 发表于 2015-12-2 11:16
看你一楼的日志，没有Zbot的特色行为，也就是在AppData\Roaming随机生成文件夹和程序名，这个不太想Zbot

对//

AnonymousM

第一个是反虚拟机吗？我刚更新到10.5.2，然后Win7 x86下双击直接没反应，一看这货已经在进程列表里了