一个样本

驭龙

QQ1014530747 发表于 2016-10-1 09:26
双击啊

SONAR不监控JS威胁，双击也就看看IPS拦截下载物而已，所以没必要双击

skyboybone

exe不报

linzh

QQ1014530747 发表于 2016-10-1 09:26
双击啊

正好虚拟机装了诺顿 双击sonor报毒
然而。。此毒已有7年历史了

驭龙

linzh 发表于 2016-10-1 09:34
正好虚拟机装了诺顿 双击sonor报毒
然而。。此毒已有7年历史了

啥情况？SONAR连JS也杀了？@胖福       福哥，你见过吗？

ccboxes

linzh 发表于 2016-10-1 09:34
正好虚拟机装了诺顿 双击sonor报毒
然而。。此毒已有7年历史了

你没看懂啊，JS脚本自身不能运行，必须靠wscript.exe执行，这个7年历史说的是Windows自带的wscript.exe。。。。。。。。。。。

linzh

ccboxes 发表于 2016-10-1 09:52
你没看懂啊，JS脚本自身不能运行，必须靠wscript.exe执行，这个7年历史说的是Windows自带的wscript.exe。 ...

哈？对哦。。。那，这是啥情况

aboringman

AVG：

双击：关闭监控，实机双击，连窝端。【下载下来的exe被干掉，回滚顺便把js带走】

"";"IDP.Program.D1B0A5C0, C:\Users\abori\AppData\Local\Temp\38878243.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/10/1, 10:06:21"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/10/1, 10:06:21"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/10/1, 10:06:21"

"";", C:\Users\abori\AppData\Local\Microsoft\Windows\INetCache\IE\XQHOSKD1\gum[1].exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/10/1, 10:06:21"

"";", C:\Users\abori\Desktop\N59069406394.js";"Deleted, Moved to Virus Vault";"File or Directory";"2016/10/1, 10:06:21"

"";", C:\Users\abori\AppData\Local\Temp\38878243.exe";"Object was blocked";"Process";"2016/10/1, 10:06:21"

驭龙

ccboxes 发表于 2016-10-1 09:52
你没看懂啊，JS脚本自身不能运行，必须靠wscript.exe执行，这个7年历史说的是Windows自带的wscript.exe。 ...

我这里企业版SONAR没有报，架梯子也没有报

Microsoftheihei

红伞miss 上报

577004369

JS趋势不报，双击直接解决