收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 刚抓的修改IE主页 所有杀软miss(微点部分拦截)
123456下一页
返回列表 发新帖
查看: 9226|回复: 50
收起左侧

[病毒样本] 刚抓的修改IE主页 所有杀软miss(微点部分拦截)

[复制链接]
killerwhale
发表于 2008-8-22 15:09:16 | 显示全部楼层 |阅读模式
大家也知道嘛   最近很多系统下载站都河蟹了
所以我就冒着巨大的风险去迅雷上下了    顺便先抓点好玩的东东
果然抓到鸟
注意这个病毒很恶心   先伪装成声卡驱动骗人   然后通过修改注册表修改主页      微点的注册表保护报警拦截成功      但是病毒会进一步修改IE的快捷方式为"C:\Program Files\Internet Explorer\IEXPLORE.EXE" hXXp://www.go2000.cn(这一步微点miss)   你通过桌面和快速启动栏启动的时候仍然会打开go2000那个垃圾网站   
解压密码:kafan
再次提醒一下  HIPS测试的  仔细看看自己的HIPS是不是完美拦截   看看IE桌面和快速启动栏的快捷方式属性有没有被改成C:\Program Files\Internet Explorer\IEXPLORE.EXE" hXXp://www.go2000.cn



VirSCAN.org Scanned Report :
Scanned time   : 2008/08/22 16:19:28 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : msconfig.exe
File Size      : 270457 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 66f6da5dc11bd99d15bfea50ac710a2e
SHA1           : c0b915680b2f4486fda3b14d3eccb01eeb56997d
Online report  : http://virscan.org/report/28fbfd3f74ea842cc9eebb742909a9ec.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.08.21        2008-08-21  3.16   -
安博士V3       2008.08.22.01   2008.08.22        2008-08-22  0.95   -
AntiVir        7.8.1.23        7.0.6.52          2008-08-22  2.30   -
Arcavir        1.0.5           200808211436      2008-08-21  1.40   -
AVAST!         3.0.1           080821-0          2008-08-21  0.06   -
AVG            7.5.51.442      270.6.6/1626      2008-08-21  1.58   -
BitDefender    7.60825.1571632 7.20620           2008-08-22  2.85   -
CA (VET)       9.0.0.143       31.6.6040         2008-08-22  5.36   -
ClamAV         0.93.3          8070              2008-08-22  0.25   -
Comodo         2.11            2.0.0.624         2008-08-22  0.43   -
CP Secure      1.1.0.715       2008.08.21        2008-08-21  6.34   -
Dr.Web         4.44.0.9170     2008.08.22        2008-08-22  4.10   -
ewido          4.0.0.2         2008.08.21        2008-08-21  2.49   -
F-Prot         4.4.4.56        20080821          2008-08-21  1.05   -
F-Secure       5.51.6100       2008.08.21.09     2008-08-21  0.26   -
飞塔           2.81-3.11       9.458             2008-08-22  2.05   -
ViRobot        20080821        2008.08.21        2008-08-21  0.48   -
Ikarus         T3.1.01.34      2008.08.22.71322  2008-08-22  3.56   -
江民杀毒       11.0.706        2008.08.22        2008-08-22  1.20   -
卡巴斯基       5.5.10          2008.08.22        2008-08-22  0.20   -
金山毒霸       2008.1.14.15    2008.8.22.14      2008-08-22  0.70   -
迈克菲         5.2.00          5367              2008-08-21  2.69   -
Microsoft      1.3807          2008.08.21        2008-08-21  4.56   -
mks_vir        2.01            2008.08.19        2008-08-19  2.76   -
Norman         5.93.01         5.93.00           2008-08-21  5.81   -
熊猫卫士       9.05.01         2008.08.21        2008-08-21  2.10   -
趋势科技       8.700-1004      5.494.03          2008-08-21  0.05   -
Quick Heal     9.50            2008.08.21        2008-08-21  1.73   -
瑞星           20.0            20.58.40.00       2008-08-22  0.99   -
Sophos         2.77.0          4.32              2008-08-22  2.06   -
Sunbelt        3.1.1571.1      2200              2008-08-21  0.82   -
赛门铁克       1.3.0.24        20080821.017      2008-08-21  0.18   -
nProtect       2008-08-22.00   1909009           2008-08-22  3.84   -
The Hacker     6.3.0.6         v00058            2008-08-21  0.49   -
VBA32          3.12.8.4        20080821.1126     2008-08-21  1.22   -
VirusBuster    4.5.11.10       10.84.7/598356    2008-08-21  1.39   -

[ 本帖最后由 killerwhale 于 2008-8-22 16:48 编辑 ]
回复

举报

电影结束了
发表于 2008-8-22 15:14:21 | 显示全部楼层
Realtek AC97 Audio - Event Monitor
有签名的东西~
回复

举报

ranguangning
头像被屏蔽
发表于 2008-8-22 15:23:24 | 显示全部楼层
回复

举报

IllusionWing
发表于 2008-8-22 15:27:40 | 显示全部楼层
msconfig.exe会是声卡相关?玩笑。
PS 2 #,那个不是版本信息么?
回复

举报

郭襄
头像被屏蔽
发表于 2008-8-22 15:28:15 | 显示全部楼层
B托,这不是签名
回复

举报

killerwhale
 楼主| 发表于 2008-8-22 15:34:26 | 显示全部楼层
我倒
我说的是微点miss    那我肯定是运行过测试了才发上来嘛  大家不要被表象所蒙蔽嘛
电影竟然认为我发的是声卡驱动  55555~~~~~
还是小哀好

[ 本帖最后由 killerwhale 于 2008-8-22 15:38 编辑 ]
回复

举报

htyhzd 该用户已被删除
发表于 2008-8-22 15:41:34 | 显示全部楼层
我的主页没有被改,貌似也没有被拦截,本身无毒
回复

举报

IllusionWing
发表于 2008-8-22 15:45:43 | 显示全部楼层

回复 6楼 killerwhale 的帖子

确实改主页,改成
hXX//www.go2000.cn
回复

举报

logdowns
发表于 2008-8-22 15:46:49 | 显示全部楼层
微点提示修改IE主页
回复

举报

htyhzd 该用户已被删除
发表于 2008-8-22 15:52:16 | 显示全部楼层

结果是hips拦截了

DefenseWall HIPS log file

08.22.2008  15:45:35,模块 C:\Documents and Settings\htyhzd\桌面\msconfig.exe, 企图 设置值 SoundMan 在注册表键 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (注册表)

08.22.2008  15:45:32,模块 C:\Documents and Settings\htyhzd\桌面\msconfig.exe, 企图 设置值  在注册表键 HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\ (注册表)

08.22.2008  15:45:32,模块 C:\Documents and Settings\htyhzd\桌面\msconfig.exe, 企图 设置值  在注册表键 HKCU\SOFTWARE\Classes\http\shell\open\command\ (注册表)

08.22.2008  15:45:32,模块 C:\Documents and Settings\htyhzd\桌面\msconfig.exe, 企图 设置值 Start Page 在注册表键 HKCU\Software\Microsoft\Internet Explorer\Main\ (注册表)
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-5 04:28 , Processed in 0.139292 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表