转自52病毒样本

3801187

https://pan.baidu.com/s/1gfruG2B
http://fireeye.ijinshan.com/anal ... ff5&type=1#full

电脑发烧友

火绒exe和DLL都不杀。

操作进程：C:\Documents and Settings\Administrator\桌面\HUX自动发卡系统.exe
触犯规则：禁运！
操作类型：读取
操作文件：C:\WINDOWS\system32\regsvr32.exe
用户操作：已阻止

尘梦幽然

360杀毒miss

qqddliu

【1】2016-05-21 18:39:25,系统防护,自定义防护,HUX自动发卡系统.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\HUX自动发卡系统.exe
触犯规则：●星火●【文件保护秒杀规则】文件安全读写
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\桌面\ZCB.dll
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-05-21 18:39:21,系统防护,自定义防护,explorer.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\WINDOWS\explorer.exe
触犯规则：●星火●【文件保护秒杀规则】系统关键设置保护
操作类型：写入
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\桌面\HUX自动发卡系统.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

尘梦幽然

金山毒霸极速版
运行后产生了一些行为
然后被报毒Win32.Heur.KVM099.a.(kcloud)删除
还有一些残余文件

3801187

尘梦幽然 发表于 2016-5-21 18:43
金山毒霸极速版
运行后产生了一些行为
然后被报毒Win32.Heur.KVM099.a.(kcloud)删除

你们缉毒卫队每天都干嘛呀？听说金山极速版主防和火眼联动？

蓝雨风暴

蛋挞 PUP

尘梦幽然

3801187 发表于 2016-5-21 18:46
你们缉毒卫队每天都干嘛呀？听说金山极速版主防和火眼联动？

主要是负责组织一些活动啊，还有答疑啊，分析问题啊，各种东西都讨论，很好玩的。
有兴趣可以来参加啊
关于是不是和主防联动我就不知道了。
但是我知道，火眼出来的时候，金山就已经实现了火眼检测确定恶意的文件，金山毒霸扫描就能杀。
但是这次很明显有问题啊，因为明明这个报的是云启发的检测名，似乎是静态检测，但是文件运行起来了不说，还产生了衍生物。这个衍生物在后续也没有被一并回滚干净。如果这种情况是普遍存在的问题的话，那么金山极速版的监控设计肯定是有问题的，或者至少是不扎实的。
不过我的测试环境不够干净可能也是原因之一，因为电脑里还有安装360安全卫士。

3801187

尘梦幽然 发表于 2016-5-21 18:55
主要是负责组织一些活动啊，还有答疑啊，分析问题啊，各种东西都讨论，很好玩的。
有兴趣可以来参加啊
...

我喜欢自由自在，况且没什么实际作用，还是感谢你的提议。

zhanghtjj

我就不明白了，我开启了卡巴的受信任应用程序模式竟然还能打开这个文件