斯大林病毒

winqq

comodo开hips纯墙都防不住啊，火绒也不报

左手

2018/5/28 10:38:38    结束其他进程 风险提示:高风险 (1704)    阻止
进程: d:\360安全浏览器下载\斯大林病毒\斯大林病毒.exe
目标: c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\explorer.exe

2018/5/28 10:38:39    读文件夹 风险提示:低风险    阻止
进程: d:\360安全浏览器下载\斯大林病毒\斯大林病毒.exe
目标: C:\$Recycle.Bin
规则: [文件组]《保护》f228_系统引导程序 -> [文件]?:\; $recycle.bin

2018/5/28 10:38:39    删除文件 风险提示:敏感    阻止并结束进程
进程: d:\360安全浏览器下载\斯大林病毒\斯大林病毒.exe
目标: C:\autoexec.bat
规则: [应用程序]?* -> [文件]?:\; autoexec.bat

www-tekeze

winqq 发表于 2018-5-28 06:59
comodo开hips纯墙都防不住啊，火绒也不报

墙是用来防御网络入侵的，这个样本你都下载到本地硬盘上了，墙如何防？？  另，这个样本火绒还没有入库，双击不会拦截的，10楼我给那个图是运行在沙盘里，重要的事说三遍，没把握手别残、没把握手别残、没把握手别残！

鲲鹏-玳瑁

winqq 发表于 2018-5-28 06:18
我的火绒双击扫描怎么都杀不了？

可能我是特殊情况吧

，就一个.

AVA 25.17246
GD 25.12380

*** Process ***

Process: 1420
File name: 斯大林病毒.exe
Path: d:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe

Publisher: Unknown publisher
Creation date: 2018年5月31日 18:35:40
Modification date: 2018年5月19日 21:52:51

Started by: explorer.exe
Publisher: Microsoft Windows


*** Actions ***
A packer was run on the program file, possibly to conceal malicious content.
The program has created or manipulated an executable file.
The program has read data from its own program file.
The program created a copy of itself.
An executable file was stored in a suspicious location.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\Administrator\AppData\Local\fl.dat
C:\Users\Administrator\AppData\Local\stalin.exe
D:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe

The following registry entries were deleted:


YHJyCS0nKCcoJgYvJygnKCYGp0InKHSCYmJwKycoJygmBsdygnKCYmKQKycP23JycnJiYsAvJycnJyYGj3KycrJiYvApJycnJyYGz3JycnJiYnCocoJygmJicLhygnKCYmJw6HJycnJiYnC6omFaY8ZyomFaY8ZyYmJwjnJyCPcoJwroKicH6CsnJyYmJwcA
Rules version: 5.0.149
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 73031

"D:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe"
MD5: E81139675AC1B806D689FB17789E2F99
explorer.exe
MD5: 6DDCA324434FFA506CF7DC4E51DB7935

，就一个.

AVA 25.17273
GD 25.12394

*** Process ***

Process: 5132
File name: 斯大林病毒.exe
Path: d:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe

Publisher: Unknown publisher
Creation date: 2018年6月2日 13:32:22
Modification date: 2018年5月19日 21:52:51

Started by: explorer.exe
Publisher: Microsoft Windows


*** Actions ***

A packer was run on the program file, possibly to conceal malicious content.
The program has created or manipulated an executable file.
The program has read data from its own program file.
The program created a copy of itself.
An executable file was stored in a suspicious location.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\Administrator\AppData\Local\fl.dat
C:\Users\Administrator\AppData\Local\stalin.exe
D:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe

The following registry entries were deleted:


YHJyCS0nKCcoJgYvJygnKCYGp0InKHSCYmJwKycoJygmBsdygnKCYmKQKycP23JycnJiYsAvJycnJyYGj3KycrJiYvApJycnJyYGz3JycnJiYnCocoJygmJicLhygnKCYmJw6HJycnJiYnC6omFaY8ZyomFaY8ZyYmJwjnJyCPcoJwroKicH6CsnJyYmJwcA
Rules version: 5.0.149
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
dll version: 73031

"D:\360极速浏览器下载\斯大林病毒\斯大林病毒.exe"
MD5: E81139675AC1B806D689FB17789E2F99
C:\Windows\Explorer.EXE
MD5: 6DDCA324434FFA506CF7DC4E51DB7935

挚爱HNL

終極小壞蛋 发表于 2018-5-25 19:16
全损音质真是名不虚传
不过这个样本怎么还运行错误呢？点了报错窗口的退出还就直接退出了……运行的 ...

小坏蛋呀小坏蛋，你要点输入框，过几秒之后就可以拦截了

終極小壞蛋

挚爱HNL 发表于 2018-6-8 13:40
小坏蛋呀小坏蛋，你要点输入框，过几秒之后就可以拦截了

报错窗口挡住了，点不了输入框

挚爱HNL

鲲鹏-玳瑁 发表于 2018-5-28 19:39
可能我是特殊情况吧

哎？火绒没把斯大林入库哎

挚爱HNL

終極小壞蛋 发表于 2018-6-8 13:41
报错窗口挡住了，点不了输入框

回车是个好东西