这个不报也就算了，为什么生成物也不报呢？

htoziwy

hxxp://robitzu.sytes.net/postcard.exe

很明显的后门，x换成t下载，我想想还是不要放在样本区了，还是有一部分杀软可以查出来的

shenbn

虽说我家有红伞，，
但还是不点了。。

shenbn

果然没令我失望

红伞报了耶~

Dirk

LS很矛盾额

shenbn

额。。。好奇心作怪。。。
所以。。。
额。。
咳咳。。。

413055156

这也太简单了吧楼主怎么会想不明白 就是这个病毒NOD32没入库 那当然不认识了 NOD32（任何软件）的查杀率又不可能100%

yuanf8

原帖由 413055156 于 2009-4-4 08:13 发表
这也太简单了吧楼主怎么会想不明白 就是这个病毒NOD32没入库 那当然不认识了 NOD32（任何软件）的查杀率又不可能100%

是你把问题想得简单化了，NOD32的病毒库很小的，主要靠启发……
那个“没入库当然不认识”就更离谱了……

iezhaoie

ok    let’s go
没装杀软不敢试

lingbo110120

http://www.virustotal.com/zh-cn/ ... 55c925437e6cabc3a16
这就是你说的一部分？

TO ESET （最快也要礼拜一晚上入库）





2009-4-4 13:34:40    创建文件    允许
进程: c:\documents and settings\administrator\桌面\postcard.exe
目标: C:\WINDOWS\Temp\spoolsv\run.BAT
规则: [文件组]FD_可执行文件 -> [文件]*; *.bat

2009-4-4 13:34:45    创建文件    允许
进程: c:\documents and settings\administrator\桌面\postcard.exe
目标: C:\WINDOWS\Temp\spoolsv\spoolsv.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2009-4-4 13:34:50    创建文件    允许
进程: c:\documents and settings\administrator\桌面\postcard.exe
目标: C:\WINDOWS\Temp\spoolsv\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2009-4-4 13:34:56    创建新进程    阻止
进程: c:\documents and settings\administrator\桌面\postcard.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\WINDOWS\Temp\spoolsv\run.BAT" "
规则: [应用程序]* -> [子应用程序]*

2009-4-4 13:35:23    修改文件    允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\Temp\spoolsv\run.BAT
规则: [文件组]FD_可执行文件 -> [文件]*; *.bat


批处理内容：
——————————————————————
@ECHO OFF
START regedit /s %SystemRoot%\Temp\spoolsv\a.reg
START %SystemRoot%\temp\spoolsv\spoolsv.exe
START %SystemRoot%\temp\spoolsv\xmas.jpg
START attrib +H +S %SystemRoot%\temp\spoolsv
——————————————————————


生成物


[ 本帖最后由 lingbo110120 于 2009-4-4 13:42 编辑 ]

lingbo110120

没入库 当然不认识...
别人没说错..
启发只是针对已入库的病毒的变种的查杀

啊呀呀 习惯性转到 扫描区了
猫猫 梦幻 帮忙转到样本区...

[ 本帖最后由 lingbo110120 于 2009-4-4 13:46 编辑 ]