微步“零杀软检出，我国遭到“海莲花”新手法攻击”的样本

小飞侠.net

火绒表示不认识，话说这个会不会感染word文档？

小新爱打小怪兽

一堆Miss看得我好慌

超平头

www-tekeze 发表于 2019-4-24 23:27
杀修改破解也肯定厉害。。   只是比铁壳那些好点。。。

WD真心好用，只不过杀破解太难受了，office都没法激活哈哈

bbs2811125

www-tekeze 发表于 2019-4-24 23:06
WD有主防，启发还是静启+动启，厉害着呢。。。不用修改破解的很不错，只是占资源到是真。。

最后两句真是戳到我的痛点，就我现在懒得折腾的情况，后两个问题要是解决简直完美

鲁速

点击下载，avast就报警阻止

温馨小屋

www-tekeze 发表于 2019-4-24 23:33
原来1803我开了内核隔离，VBox和VM都用不了，但后来最新的版本我没试。。。现在装LTSC内核隔离也不敢开。 ...

内核隔离似乎是把整个系统运行在虚拟机上，类似chrome浏览器里的沙盒，把整个系统搞在沙盒里就可以防范大多数攻击，不会影响到系统核心，但是这个技术会占用VT技术导致不能使用虚拟机，系统性能也会有一定程度的下降

gtc

G-DATA屏蔽，下载不了！

kaba666

双击!没看到明显的破坏攻击行为!也没见到有什么联网行为!其中还包括一个隐藏的wwlib.dll文件,运行释放的360se.exe无法运行!下面是运行2019~~~~~~~exe,运行日志

09:28:14              正在启动 2019年第一季度工作方向附表.EXE...
09:28:14    创建文件夹     C:\ProgramData\360seMaintenance
09:28:14    创建文件      C:\ProgramData\360seMaintenance\chrome_elf.dll
09:28:14    创建文件      C:\ProgramData\360seMaintenance\360se.exe
09:28:14    创建文件      C:\Users\123\AppData\Local\Temp\2019年第一季度工作方向附表.docx
09:28:14    已创建进程     C:\Program Files (x86)\Windows NT\Accessories\wordpad.exe
09:28:15    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad
09:28:15    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options
09:28:15    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List
09:28:15    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Settings
09:28:15    已创建进程     C:\Windows\splwow64.exe
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Ribbon
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Ribbon\[@]QatItems
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]Wrap
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]ShowStatusBar
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]ShowRuler
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]Units
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]Maximized
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]FrameRect
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]PageMargin
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]PrintPageNum
09:28:43    设置值       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Options\[@]DefaultFormat
09:28:43    已结束进程     C:\Program Files (x86)\Windows NT\Accessories\wordpad.exe
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\.doc
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\WORD.19
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\WORD.19\DefaultIcon
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\WORD.19\shell
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\WORD.19\shell\open
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\WORD.19\shell\open\command
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\.docx
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\DefaultIcon
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\DefaultIcon\[@]
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\open
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\open\command
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\shell\open\command\[@]
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\print
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\print\command
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\shell\print\command\[@]
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\printto
09:28:43    创建注册表项    HKEY_CURRENT_USER\Software\Classes\docxfile\shell\printto\command
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\shell\printto\command\[@]
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\[@]
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\docxfile\[@]FriendlyTypeName
09:28:43    设置值       HKEY_CURRENT_USER\Software\Classes\.docx\[@]
09:28:43    已结束进程     D:\测试文件\2019 年第一季度工作方向附表\2019年第一季度工作方向附表\2019年第一季度工作方向附表.EXE
09:32:15    已结束进程     C:\Windows\splwow64.exe
09:32:16              所有安装进程已完成
09:32:16              安装完成

www-tekeze

超平头 发表于 2019-4-25 09:09
WD真心好用，只不过杀破解太难受了，office都没法激活哈哈

先装个第三方有微软认证的杀软 (比如火绒安装/卸载都很方便)，完事后再卸了。。

雪黁

EIS……无能为力，唉