厉害木马

显示全部楼层 · 发表于 2016-2-28 22:38:08

上报360 ，。楼主的样本不会真花了2千买的吧？

显示全部楼层 · 发表于 2016-2-28 22:44:49

2016-2-28 22:43:50 创建新进程风险级别:未知允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c photograph.com
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]→终止_降权组件 -> [应用程序]*\cmd.exe

显示全部楼层 · 发表于 2016-2-28 22:45:06

大费尔启发杀

显示全部楼层 · 发表于 2016-2-28 23:06:23

所谓2000块一个月的木马，还是难逃IDP的追杀

AVG：

扫描：pass；

双击：关闭监控，实机双击，IDP击杀之。

"";"IDP.ALEXA.51, C:\Users\killer\Desktop\浓雾之息\photograph.com";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/28, 23:04:06"

"";", C:\Users\killer\AppData\Roaming\747378de77034a9afc23bad5f1d1a712\crossfire.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/28, 23:04:06"

"";", C:\Users\killer\AppData\Roaming\747378de77034a9afc23bad5f1d1a712\Release.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/28, 23:04:06"

"";", C:\Users\killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\747378de77034a9afc23bad5f1d1a712.lnk";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/28, 23:04:06"

"";", C:\Users\killer\Desktop\浓雾之息\photograph.com";"Object was blocked";"Process";"2016/2/28, 23:04:06"

"";", HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\.KEY";"Deleted, Moved to Virus Vault";"Registry key";"2016/2/28, 23:04:06"

显示全部楼层 · 发表于 2016-2-29 10:15:08

本帖最后由 heavencc 于 2016-2-29 10:54 编辑

ns扫描不报，但sonar稳稳地杀

[mw_shl_code=css,true]文件名: crossfire.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016/2/29 ( 10:40:39 )

上次使用时间
2016/2/29 ( 10:40:39 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

crossfire.exe 威胁名称: SONAR.Heuristic.132
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
crossfire.exe

____________________________

文件操作

文件: c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\ crossfire.exe 威胁已删除
文件: c:\users\heavencc\desktop\浓雾之息\浓雾之息\ photograph.com 已删除
文件: c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\ release.dll 威胁已删除
文件: c:\users\heavencc\appdata\roaming\microsoft\windows\start menu\programs\startup\ 747378de77034a9afc23bad5f1d1a712.lnk 威胁已删除
目录: c:\users\heavencc\appdata\roaming\ 747378de77034a9afc23bad5f1d1a712 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1282932030-621676606-3575966548-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{7AD84985-87B4-4A16-BE58-8B72A5B390F7} {000214E4-0000-0000-C000-000000000046} 0xFFFF, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1282932030-621676606-3575966548-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A} {000214E4-0000-0000-C000-000000000046} 0xFFFF, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1282932030-621676606-3575966548-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\ Cached->{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A} {00000122-0000-0000-C000-000000000046} 0xFFFF, 注册表配置单元: 64 位威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\crossfire.exe, PID:76) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\crossfire.exe, PID:76) 未采取操作
(执行者 c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\crossfire.exe, PID:76) 未采取操作
事件: 进程启动: c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\ crossfire.exe, PID:76 (执行者 c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\crossfire.exe, PID:76) 未采取操作
事件: 进程启动 (执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
(执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
事件: PE 文件创建: c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\ crossfire.exe (执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
事件: 进程启动: c:\users\heavencc\appdata\roaming\747378de77034a9afc23bad5f1d1a712\ crossfire.exe, PID:76 (执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
事件: 进程启动: c:\users\heavencc\desktop\浓雾之息\浓雾之息\ photograph.com, PID:2056 (执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
____________________________

可疑操作

(执行者 c:\users\heavencc\desktop\浓雾之息\浓雾之息\photograph.com, PID:2056) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

显示全部楼层 · 发表于 2016-2-29 14:30:08

本帖最后由 pigshead 于 2016-2-29 14:46 编辑

能过微点
这东西壳比较强。可能是能逃过查杀的原因。
ASProtect 2.0x Registered -> Alexey Solodovnikov

显示全部楼层 · 发表于 2016-2-29 14:35:49

比较弱的免杀壳很容易就被杀掉了。强壳则不会报。人工和云都分析不了代码。所以不会报毒。

显示全部楼层 · 发表于 2016-2-29 14:37:00

本帖最后由 pigshead 于 2016-2-29 14:38 编辑

另外也可以做一个数字签名。给木马加上。也不会报毒。
强壳+签名。估计90%的杀软都不会杀。

显示全部楼层 · 发表于 2016-2-29 15:10:08

windows7爱好者发表于 2016-2-28 16:57
自启动没有，样本已废
疯狂要求加启动项
何必呢

请问，预防性保护是默认设置吗？

显示全部楼层 · 发表于 2016-2-29 17:06:37

db miss

[病毒样本] 厉害木马

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块