6日微点主防不报样本补测（xp+sp2）

bridgewr

天子你是不是太强词夺理了，我的图分明是未知，你看成已知，然后还说不相信我的测试，真不知道该说你这样的枪什么好

wsmurderer

导致天子症状的不是图中的那个伪杀软吧?经常遇到,没什么动作,就是骗钱的!你说的那些症状是哪个样本导致的?我测试一下

大汉天子1

原帖由 bridgewr 于 2009-6-7 01:23 发表
天子你是不是太强词夺理了，我的图分明是未知，你看成已知，然后还说不相信我的测试，真不知道该说你这样的枪什么好

我不是说了我没有看清楚了吗？
你把强词夺理的地方说说看，出现这样的情况我当然不会再相信你的测试了。至于说什么“枪”之类的，我不会投诉你。我这个人没有这个习惯，你们喜欢这样那是你们的事情。
不过如果我是枪的话，我的水平也太低了。连样本和产生的衍生物我都分不清楚，要别人提醒我才行。没有人请这样的枪吧？
ps：为了让你觉得我不强词夺理，我把沙发的已知木马改掉。

[ 本帖最后由 大汉天子1 于 2009-6-7 01:41 编辑 ]

大汉天子1

原帖由 wsmurderer 于 2009-6-7 01:24 发表
导致天子症状的不是图中的那个伪杀软吧?经常遇到,没什么动作,就是骗钱的!你说的那些症状是哪个样本导致的?我测试一下

我不知道那是什么东西，反正中毒以后就是这个样子。

[ 本帖最后由 大汉天子1 于 2009-6-7 01:31 编辑 ]

wsmurderer

你把刚才测试的所有样本发到我邮箱,PM你

大汉天子1

原帖由 wsmurderer 于 2009-6-7 01:32 发表
你把刚才测试的所有样本发到我邮箱,PM你

已经删除了，不是说了被微点干掉了吗？
你自己再去下载吧，我是不会再去下载了。

wsmurderer

太多了,下起来麻烦,找起来也麻烦 删了就算了

啊弥陀佛

呵呵，尝试用OD分析了090606-3-5这个样本，发现该样本在临时文件夹下创建如下两个文件：








到临时目录看到如下：





其中Who记事本的内容如下：





生成的衍生物Ldr.exe提示不是有效的PE文件：










总结：该样本090606-3-5写入的ldr.exe不是PE文件，可能是作者加密了后来没有解密，导致生成的衍生物ldr.exe出错，无法进行下一步的有害动作，故整个样本所要达到的目的到这里就结束了。所以造成在xp系统下运行出错，这样的样本微点肯定不会报警。

陈小落

原帖由 啊弥陀佛 于 2009-6-7 01:35 发表
呵呵，尝试用OD分析了090606-3-5这个样本，发现该样本在临时文件夹下创建如下两个文件：


554256


554257


到临时目录看到如下：


554258


其中Who记事本的内容如下：


554259


...

这个不是明白的说了是DOS么..没作用的...
怎么不去分析下另一个报"未知"的呢?

啊弥陀佛

原帖由 EarlyChan 于 2009-6-7 07:52 发表


这个不是明白的说了是DOS么..没作用的...
怎么不去分析下另一个报"未知"的呢?

呵呵，微点报警了还需要去分析吗？难道你怀疑微点误报？