凤凰山庄游戏远控木马更新

显示全部楼层 · 发表于 2016-11-27 09:36:26

vm001 发表于 2016-11-27 00:20
启动游戏360是什么拦截弹窗。。
哦你说的是这个拦截吧。在win10上是拦截不了的

昨晚测试时弹出你的第二张截图所示的弹窗后，选择允许，还有几个拦截WmlPrvSE.exe行为的弹窗，今天再测试不知为什么没有了，只弹出截图二弹窗后一会儿就关机了

显示全部楼层 · 发表于 2016-11-27 10:21:47

360_HBM 发表于 2016-11-27 09:36
昨晚测试时弹出你的第二张截图所示的弹窗后，选择允许，还有几个拦截WmlPrvSE.exe行为的弹窗，今天再测试 ...

WmlPrvSE.exe有行为是因为他在远程操作，只关机（就是WmlPrvSE.exe行执行关机的行为）360是肯定不拦截，所以没泡泡了。
另外你是用win7测试的？

显示全部楼层 · 发表于 2016-11-27 16:08:38

vm001 发表于 2016-11-27 10:21
WmlPrvSE.exe有行为是因为他在远程操作，只关机（就是WmlPrvSE.exe行执行关机的行为）360是肯定不拦截， ...

第一次测试时360还拦截到几次WmlPrvSE.exe在修改系统关键COM组件，以及一些其它行为，具体是什么忘记了，日志已经被我还原了。测试在虚拟机下进行，虚拟机的系统是win7 32位

显示全部楼层 · 发表于 2016-11-28 13:30:52

卡巴
FHGameLobby.exe
Trojan.Win32.Inject.wmyq
TASLoginBase.dll
Trojan.Win32.Inject.wmyq
UE32.dat
HEUR:Trojan.Win32.Generic
WmlPrvSE.exe
UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2016-11-28 14:15:12

本帖最后由 a445441 于 2016-11-28 14:17 编辑

@vm001

显示全部楼层 · 发表于 2016-11-28 14:22:48

BD拦截

显示全部楼层 · 发表于 2016-11-29 20:28:30

三个样本报的都是同一个dll

+++++++++++++++++++++++

+++++++++++++++++++++++

显示全部楼层 · 发表于 2016-12-3 00:18:49

BD-Free为0928毒库，其他为1106毒库：
BD-Free: ATC Kill
AVG Free: Miss
KIS: Miss
Dr.Web: Miss

[病毒样本] 凤凰山庄游戏远控木马更新

本帖子中包含更多资源

评分

本帖子中包含更多资源