楼主: fujing2021
收起左侧

[其他] 用火绒的朋友,看看这个网站火绒报毒吗?

  [复制链接]
偷电狂魔
头像被屏蔽
发表于 2020-5-10 16:14:21 | 显示全部楼层
我这是刚升级的火绒,一打开立马就报毒了。这是个什么东西?怎么中国中医药网还有病毒?

操作进程:D:\Users\Rainbow\AppData\Local\360Chrome\Chrome\Application\360chrome.exe
病毒路径:http://phpstat.cntcm.com.cn/phpstat/count/abceffgh/abceffgh.js
病毒名称:Trojan/Generic!B7128D944807A60C
病毒ID:B7128D944807A60C
操作结果:已阻止



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
随风落寞
发表于 2020-5-10 20:53:57 | 显示全部楼层
同上,一打开就报了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
巷入菲菲
发表于 2020-5-10 21:06:33 | 显示全部楼层
火绒还蛮值得信赖的
power2013
发表于 2020-5-10 21:20:43 | 显示全部楼层
一点开直接报毒了,没问题
太阳mini
发表于 2020-5-10 21:27:31 | 显示全部楼层
卡巴报毒
lzxzyhy
发表于 2020-5-10 21:41:26 | 显示全部楼层
左下角弹窗报毒。
fujing2021
 楼主| 发表于 2020-5-11 09:04:42 | 显示全部楼层
我装了假火绒,没有反应
0200dfg
发表于 2020-5-11 10:11:58 | 显示全部楼层
偷电狂魔 发表于 2020-5-10 16:14
我这是刚升级的火绒,一打开立马就报毒了。这是个什么东西?怎么中国中医药网还有病毒?

操作进程:D:%u ...

这个网站还在被挂马
PanzerVIIIMaus
发表于 2020-5-11 10:36:51 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2020-5-11 11:41 编辑

防护不一定要报毒本身,比如防火墙直接把IP拦了,或者URL层面就拦截了,之后或许就是何时入库的问题了

如果有人试图反问如果通过其它路径进来怎么办,我也能照样反问如果这个IP地址、这个URL所提供的js是另外一个火绒没报的版本又怎么办?这种东西是建立在如果身上的嘛。


访问了楼主的网页,MES防火墙报高风险拦截,网页浏览正常,没有受感染目标下载
firefox.exe 试图访问 211.103.141.55,这违反了规则 GTI Rule - TCP - Out 并且阻止。
分析器/检测程序
产品名称        McAfee Endpoint Security
分析器规则 ID        0119fe8b-414d-4a45-a418-82315f586325
分析器规则名称        GTI Rule - TCP - Out
分析器技术版本        10.7.0.1198
产品版本        10.7.0
McAfee GTI 查询        是
功能名称        防火墙

威胁
执行的操作        阻止
威胁类别        检测到入侵
威胁事件 ID        35001
威胁已被处理        是
威胁名称        GTI Rule - TCP - Out
威胁严重性        警报
威胁时间戳        2020年5月11日 10:12 AM
威胁类型        入侵

方向        出站
检测前的持续时间(天)        1
说明        firefox.exe 试图访问 211.103.141.55,这违反了规则 GTI Rule - TCP - Out 并且阻止。已查询 McAfee GTI。
ICMP 类型        0
合并事件计数        1

访问了报毒js地址,URL拦截,被转至McAfee导航
使用 C:\Program Files (x86)\McAfee\Endpoint Security\Web Control\McChHost.exe 打开了评级为 不安全 的 http://phpstat.cntcm.com.cn/phpstat/count/abceffgh/abceffgh.js,并由 McAfee Endpoint Security 阻止该 URL。
分析器/检测程序
产品名称        McAfee Endpoint Security
产品版本        10.7.0
McAfee GTI 查询        是
功能名称        URL 导航

威胁
执行的操作        阻止
威胁类别        恶意站点导航
威胁事件 ID        18600
威胁已被处理        是
威胁名称        Web Control Violation
威胁严重性        严重
威胁时间戳        2020年5月11日 10:13 AM
威胁类型        恶意 URL


源文件大小        0
源 IPV4        211.103.141.55
源父级进程哈希        9b1799b6cf754da518f42a94427095d4
源父级进程名        C:\Program Files\Mozilla Firefox\firefox.exe
源父级进程已签名        是
源父级进程签名者        Mozilla Corporation
源进程文件哈希        4068b4d76bd3cc37753a770e5243cd5c
源进程名称        C:\Program Files (x86)\McAfee\Endpoint Security\Web Control\McChHost.exe
源已签名        否
源 URL        http://phpstat.cntcm.com.cn/phpstat/count/abceffgh/abceffgh.js
源 URL 评级代码        不安全
源 URL Web 类别        恶意下载内容

其他
媒介类型        Web

使用IDM下载js地址,仍旧受防火墙拦截


关闭防火墙和Web控制,通过IDM下载js文件,成功,5月10日病毒库,监控无反应
手动扫描,月神非常高,Miss



不确定是否有问题,实机不敢双击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
PanzerVIIIMaus
发表于 2020-5-11 10:46:56 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2020-5-11 10:50 编辑
神算子 发表于 2020-5-10 12:44
eset没报有点意外,eset不是对这种最严格的吗,诺顿报了吗

但引擎之间的检出率也不是子集关系啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 21:39 , Processed in 0.102760 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表