远控木马一个

租车司机

这木马要列黑exe才有用。

驭龙

aboringman 发表于 2016-1-3 17:16
该死，木马在我这里静默了，没办法亲眼见到它被杀的那刻了。
测试失败，放弃。

我这里成功运行，说一下具体情况。

双击快捷方式，威胁成功运行，很快Aegis出动，清除威胁和衍生物。


启动项没有残余。


跟踪程序分析威胁运行关系。


威胁产生的四个文件，其中一个添加启动文件夹。


重启动Windows 以后一切正常，没有启动项和衍生物。


我这里就是这个情况了。

蓝天二号

趋势 在关键时刻还是很棒的

pal家族

nick20010117

蓝天二号 发表于 2016-1-3 15:45
趋势 在关键时刻还是很棒的

可以开中安全测试一下吗

ther

nick20010117 发表于 2016-1-3 16:05
可以开中安全测试一下吗

名稱:        by123.com
寄件人:        Microsoft Corporation
版本:        6.00.8168.2
版權所有:        Copyright (C) Microsoft Corp. 1992-1997
偵測到的資源或程序 ID:        C:\Users\ther1\AppData\Roaming\a0ca6c053ab4bf6426eff91d555945fb\crossfire.exe
回應:        已清除
安全威脅:        HEU_AEGISCS922
來源類型:        安全威脅
受影響的檔案:        C:\Users\ther1\Desktop\…\by123.com
處理行動:        已移除
偵測方式:        即時掃瞄
安全威脅:        TSC_GENCLEAN
來源類型:        安全威脅
受影響的檔案:        C:\Users\ther1\Ap…ff91d555945fb.lnk
處理行動:        已移除
偵測方式:        即時掃瞄
安全威脅:        HEU_AEGISCS922
來源類型:        安全威脅
受影響的檔案:        c:\users\ther1\appdata\r…\crossfire.exe
處理行動:        已移除
偵測方式:        即時掃瞄

杀软神马

过GD主防+监控

ther

ther 发表于 2016-1-3 16:37
名稱:        by123.com
寄件人:        Microsoft Corporation
版本:        6.00.8168.2

双击后来回滚剩下的（设置的开机启动项）
名稱:        6657d.exe
寄件人:        未知
版本:       
版權所有:       
偵測到的資源或程序 ID:        ZwMapViewOfSection
回應:        已清除
安全威脅:        HEU_AEGISCS1002
來源類型:        安全威脅
受影響的檔案:        C:\Users\ther1\AppData\R…\6657d.exe
處理行動:        已移除
偵測方式:        即時掃瞄

EnZhSTReLniKoVa

杀软神马 发表于 2016-1-3 16:39
过GD主防+监控

查看下 GD防火墙 是否拦截端口

杀软神马

君陌潇 发表于 2016-1-3 17:05
查看下 GD防火墙 是否拦截端口

这个拦截端口需要 远程控制着  发起攻击才可以把 我运行 主防没报 直接 就 结束 病毒进程了

aboringman

该死，木马在我这里静默了，没办法亲眼见到它被杀的那刻了。
测试失败，放弃。