8月6日OPDA"格盘门"罪魁祸首. 过所有扫描!

显示全部楼层 · 发表于 2009-8-7 11:04:35

2009/8/7 10:58:23       f:\下载\x-plore xx\x-plore xx.exe       创建文件       C:\windows\system32\update.exe       允许
2009/8/7 10:58:23       f:\下载\x-plore xx\x-plore xx.exe       读文件       C:\Windows\System32\update.exe       允许

2009/8/7 10:58:23       f:\下载\x-plore xx\x-plore xx.exe       创建新进程       c:\windows\system32\update.exe       阻止
2009/8/7 10:58:23       f:\下载\x-plore xx\x-plore xx.exe       读文件夹       C:       阻止

进一步测试在15楼

[ 本帖最后由 wmcxdb 于 2009-8-7 11:26 编辑 ]

显示全部楼层 · 发表于 2009-8-7 11:08:51

原帖由 Palkia 于 2009-8-7 10:57 发表
update.exe 7A947821E... 安全文件

文件是安全的，但是行为是极度恶劣的。

显示全部楼层 · 发表于 2009-8-7 11:19:11

过扫描也是正常的，还没入库嘛

显示全部楼层 · 发表于 2009-8-7 11:21:08

原帖由 chinajl 于 2009-8-7 10:55 发表

虚拟机测试，NIS2009挂了。

估计加个智能hips估计都不行

显示全部楼层 · 发表于 2009-8-7 11:24:12

2009/8/7 11:20:23 f:\下载\x-plore xx\x-plore xx.exe 创建新进程 c:\windows\system32\update.exe 允许

2009/8/7 11:20:23 f:\下载\x-plore xx\x-plore xx.exe 读文件夹 C: 允许

2009/8/7 11:20:23 f:\下载\x-plore xx\x-plore xx.exe 读文件夹 C:\Windows 允许

2009/8/7 11:20:34 c:\windows\system32\update.exe 创建新进程 c:\windows\system32\format.com 阻止

显示全部楼层 · 发表于 2009-8-7 11:26:45

报才怪了

了解批处理http://bbs.kafan.cn/thread-533886-1-1.html

[ 本帖最后由 824626242 于 2009-8-7 12:50 编辑 ]

显示全部楼层 · 发表于 2009-8-7 11:27:10

原帖由 hover421 于 2009-8-7 11:21 发表

估计加个智能hips估计都不行

要用规则HIPS

朕的物理系统还有DW和Comodo，问题应该不大。

显示全部楼层 · 发表于 2009-8-7 11:48:19

000024C0 004024C0    0 c:\windows\system32\winrun32.exe_
00002548 00402548    0 update
0000256C 0040256C    0 C:\windows\system32\update.exe
000025C0 004025C0    0 Run-time error '1004'
000025F0 004025F0    0 C:\WINDOWS\system32\Format.com C:/q/y/x
00002648 00402648    0 C:\WINDOWS\system32\Format.com D:/q/y/x
000026A0 004026A0    0 C:\WINDOWS\system32\Format.com E:/q/y/x
000026F8 004026F8    0 C:\WINDOWS\system32\Format.com F:/q/y/x
0000275C 0040275C    0 C:\WINDOWS\system32\Format.com G:/q/y/x
000027B4 004027B4    0 C:\WINDOWS\system32\Format.com H:/q/y/x
0000280C 0040280C    0 C:\WINDOWS\system32\Format.com I:/q/y/x
00002864 00402864    0 C:\WINDOWS\system32\Format.com J:/q/y/x
000028BC 004028BC    0 C:\WINDOWS\system32\Format.com K:/q/y/x
00002914 00402914    0 C:\WINDOWS\system32\Format.com L:/q/y/x
0000296C 0040296C    0 C:\WINDOWS\system32\Format.com M:/q/y/x
000029C4 004029C4    0 C:\WINDOWS\system32\Format.com N:/q/y/x
00002A1C 00402A1C    0 C:\WINDOWS\system32\Format.com O:/q/y/x
00002A74 00402A74    0 C:\WINDOWS\system32\Format.com P:/q/y/x
00002ACC 00402ACC    0 C:\WINDOWS\system32\Format.com Q:/q/y/x
00002B24 00402B24    0 C:\WINDOWS\system32\Format.com R:/q/y/x
00002B7C 00402B7C    0 C:\WINDOWS\system32\Format.com S:/q/y/x
00002BD4 00402BD4    0 C:\WINDOWS\system32\Format.com T:/q/y/x
00002C2C 00402C2C    0 c:\test.bat
00002C48 00402C48    0 @echo off
00002C68 00402C68    0 ping 127.0.0.1 -n 5
00002CA8 00402CA8    0 del C:\windows\system32\update.exe
00002CF4 00402CF4    0 del c:\test.bat

显示全部楼层 · 发表于 2009-8-7 11:52:04

MS很恐怖呢。。
直接上报了

显示全部楼层 · 发表于 2009-8-7 12:14:11

安全？看看18楼的分析，感到非常恐怖了。

[病毒样本] 8月6日OPDA"格盘门"罪魁祸首. 过所有扫描!

本帖子中包含更多资源

回复 10楼 Palkia 的帖子