楼主: dericyeoh
收起左侧

[病毒样本] 8月6日OPDA"格盘门"罪魁祸首. 过所有扫描!

[复制链接]
wmcxdb
发表于 2009-8-7 11:04:35 | 显示全部楼层
2009/8/7 10:58:23        f:\下载\x-plore xx\x-plore xx.exe        创建文件        C:\windows\system32\update.exe        允许               
2009/8/7 10:58:23        f:\下载\x-plore xx\x-plore xx.exe        读文件        C:\Windows\System32\update.exe        允许

2009/8/7 10:58:23        f:\下载\x-plore xx\x-plore xx.exe        创建新进程        c:\windows\system32\update.exe        阻止        
2009/8/7 10:58:23        f:\下载\x-plore xx\x-plore xx.exe        读文件夹        C:        阻止

进一步测试在15楼

[ 本帖最后由 wmcxdb 于 2009-8-7 11:26 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
eyesineyes
发表于 2009-8-7 11:08:51 | 显示全部楼层
原帖由 Palkia 于 2009-8-7 10:57 发表
update.exe 7A947821E... 安全文件


文件是安全的,但是行为是极度恶劣的。
eubyo
发表于 2009-8-7 11:19:11 | 显示全部楼层
过扫描也是正常的,还没入库嘛
hover421
发表于 2009-8-7 11:21:08 | 显示全部楼层
原帖由 chinajl 于 2009-8-7 10:55 发表



虚拟机测试,NIS2009挂了。


估计加个智能hips估计都不行
wmcxdb
发表于 2009-8-7 11:24:12 | 显示全部楼层
2009/8/7 11:20:23        f:\下载\x-plore xx\x-plore xx.exe        创建新进程        c:\windows\system32\update.exe        允许

2009/8/7 11:20:23        f:\下载\x-plore xx\x-plore xx.exe        读文件夹        C:        允许       

2009/8/7 11:20:23        f:\下载\x-plore xx\x-plore xx.exe        读文件夹        C:\Windows        允许       

2009/8/7 11:20:34        c:\windows\system32\update.exe        创建新进程        c:\windows\system32\format.com        阻止
824626242
发表于 2009-8-7 11:26:45 | 显示全部楼层
报才怪了
了解批处理http://bbs.kafan.cn/thread-533886-1-1.html

[ 本帖最后由 824626242 于 2009-8-7 12:50 编辑 ]
chinajl
发表于 2009-8-7 11:27:10 | 显示全部楼层
原帖由 hover421 于 2009-8-7 11:21 发表


估计加个智能hips估计都不行


要用规则HIPS
朕的物理系统还有DW和Comodo,问题应该不大。
tanlimo
发表于 2009-8-7 11:48:19 | 显示全部楼层
000024C0   004024C0      0   c:\windows\system32\winrun32.exe_
00002548   00402548      0   update
0000256C   0040256C      0   C:\windows\system32\update.exe
000025C0   004025C0      0   Run-time error '1004'
000025F0   004025F0      0   C:\WINDOWS\system32\Format.com   C:/q/y/x
00002648   00402648      0   C:\WINDOWS\system32\Format.com   D:/q/y/x
000026A0   004026A0      0   C:\WINDOWS\system32\Format.com   E:/q/y/x
000026F8   004026F8      0   C:\WINDOWS\system32\Format.com   F:/q/y/x
0000275C   0040275C      0   C:\WINDOWS\system32\Format.com   G:/q/y/x
000027B4   004027B4      0   C:\WINDOWS\system32\Format.com   H:/q/y/x
0000280C   0040280C      0   C:\WINDOWS\system32\Format.com   I:/q/y/x
00002864   00402864      0   C:\WINDOWS\system32\Format.com   J:/q/y/x
000028BC   004028BC      0   C:\WINDOWS\system32\Format.com   K:/q/y/x
00002914   00402914      0   C:\WINDOWS\system32\Format.com   L:/q/y/x
0000296C   0040296C      0   C:\WINDOWS\system32\Format.com   M:/q/y/x
000029C4   004029C4      0   C:\WINDOWS\system32\Format.com   N:/q/y/x
00002A1C   00402A1C      0   C:\WINDOWS\system32\Format.com   O:/q/y/x
00002A74   00402A74      0   C:\WINDOWS\system32\Format.com   P:/q/y/x
00002ACC   00402ACC      0   C:\WINDOWS\system32\Format.com   Q:/q/y/x
00002B24   00402B24      0   C:\WINDOWS\system32\Format.com   R:/q/y/x
00002B7C   00402B7C      0   C:\WINDOWS\system32\Format.com   S:/q/y/x
00002BD4   00402BD4      0   C:\WINDOWS\system32\Format.com   T:/q/y/x
00002C2C   00402C2C      0   c:\test.bat
00002C48   00402C48      0   @echo off
00002C68   00402C68      0   ping 127.0.0.1 -n 5
00002CA8   00402CA8      0   del C:\windows\system32\update.exe
00002CF4   00402CF4      0   del c:\test.bat
angir
发表于 2009-8-7 11:52:04 | 显示全部楼层
MS很恐怖呢。。
直接上报了
hddu
发表于 2009-8-7 12:14:11 | 显示全部楼层

回复 10楼 Palkia 的帖子

安全? 看看18楼的分析,感到非常恐怖了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 06:56 , Processed in 0.108008 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表