小马小马，居然抓到一只小马，你们看看是不？

显示全部楼层 · 发表于 2016-11-16 11:13:51

linzh 发表于 2016-11-16 11:12
一年之前的。。是木马的可能性较小。。

我这边MISS了~~~~

显示全部楼层 · 发表于 2016-11-16 11:40:51

gd拦截下载

显示全部楼层 · 发表于 2016-11-16 15:15:59

看来是这个东西加壳了，而报毒的可能是报壳了。

但是很奇怪，往常报壳很猛的红伞依然报壳，情有可原，但是当年的ESET这次却消停了？

显示全部楼层 · 发表于 2016-11-16 15:20:50

猪头无双发表于 2016-11-16 15:15
看来是这个东西加壳了，而报毒的可能是报壳了。

但是很奇怪，往常报壳很猛的红伞依然报壳，情有可原，但 ...

可能这个对于ESET来说，是白的吧，或者……然后……一会儿虚拟机看看……

显示全部楼层 · 发表于 2016-11-16 15:26:15

fireherman 发表于 2016-11-16 15:20
可能这个对于ESET来说，是白的吧，或者……然后……一会儿虚拟机看看……

嗯，我觉得跑一把虚拟机是好事

要不上传火眼或者哈勃试试看？

显示全部楼层 · 发表于 2016-11-16 15:31:03

跑完哈勃的结果。

妹的火眼还得有内侧邀请码

显示全部楼层 · 发表于 2016-11-16 15:36:24

本帖最后由 fireherman 于 2016-11-16 15:37 编辑

@猪头无双

真心看不出（程序本身）有什么恶意行为，除了连接去一个【带尾巴】的地址（这很恶心

）。

双击后，在临时目录生成一些文件，然后调用浏览器，并连接到一个【带尾巴的连接（地址已失效）】

HIPS Log:

[mw_shl_code=css,true]2016-11-16 15:27:31       E:\VirZ\淘宝网.exe       Start new application       C:\Program Files\Mozilla Firefox\firefox.exe       allowed       [103][H]ESET-NOD32 HIPS Test[AD]
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\3596phwobom       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Delete file
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\3596phwobom       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Write to file
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\aut1A.tmp       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Delete file
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\3596phwobom       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Write to file
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\aut1A.tmp       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Write to file
2016-11-16 15:26:33       E:\VirZ\淘宝网.exe       Get access to file       E:\Temp\WINXP_~1\aut1A.tmp       some access allowed       [100][O]ESET-NOD32 HIPS Test[FD:Del/Write]       Write to file,Get exclusive access to file[/mw_shl_code]

打开主连接，出现一堆平胸的骨仙，真心没胃口

显示全部楼层 · 发表于 2016-11-16 15:37:56

fireherman 发表于 2016-11-16 15:36
@猪头无双

真心看不出（程序本身）有什么恶意行为，除了连接去一个【带尾巴】的地址（这很恶心 ...

那么看来报毒的应该是报的壳了。

显示全部楼层 · 发表于 2016-11-16 15:47:41

猪头无双发表于 2016-11-16 15:37
那么看来报毒的应该是报的壳了。

就是不知道它生产的文件干嘛

文件名却有点……aut1A.tmp 即： autoneA.tmp，有蛊惑

显示全部楼层 · 发表于 2016-11-16 15:48:54

fireherman 发表于 2016-11-16 15:47
就是不知道它生产的文件干嘛

文件名却有点……aut1A.tmp 即： autoneA.tmp，有蛊惑 ...

没有反编译的高手，看不出有什么蹊跷所在

[病毒样本] 小马小马，居然抓到一只小马，你们看看是不？

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 小马小马，居然抓到 一只小马，你们看看是不？

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 小马小马，居然抓到一只小马，你们看看是不？