楼主: xpn282
收起左侧

送上一枚...谁用3D试试它的行为...

[复制链接]
icka
发表于 2007-3-28 20:19:19 | 显示全部楼层
当然知道了.
但问题是这个是不是个无效的?

杀软大都是靠特征码,这个貌似啥行为都没啊.
solcroft
发表于 2007-3-28 20:21:39 | 显示全部楼层
根据沙盘分析,应该是把http://down.waiguayuan.com/mm/test.exe下载到C:\boot.exe,可是等了好久都没出现这个咚咚...
Nblock
发表于 2007-3-28 20:24:24 | 显示全部楼层
开一端口 然后退出 下载生产物没发现 可能是预备下载的东东自己不见了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
icka
发表于 2007-3-28 20:31:59 | 显示全部楼层
貌似确实是啊.

反正虚拟机里运行了下啥东西都没出现....


顺便问下.沙箱里怎么知道从哪里下的什么东西?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xpn282
 楼主| 发表于 2007-3-28 20:32:33 | 显示全部楼层
原帖由 icka 于 2007-3-28 20:19 发表
当然知道了.
但问题是这个是不是个无效的?

杀软大都是靠特征码,这个貌似啥行为都没啊.

还说啥行为都没有... ..你浪费了犀牛和GSS...你看我的监控...

它在2个地方生成和修改index.bat




还联网222.217.97.40  

[ 本帖最后由 xpn282 于 2007-3-28 21:06 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
icka
发表于 2007-3-28 20:38:54 | 显示全部楼层
看来加的规则还是不够多啊.

为啥我GSS和犀牛都看不到链接的那个IP? GSS啥规则都没弄

我用代理上的,就只能看到访问代理IP的一个端口,然后就没啥动静了..

第一个index.dat这些还需要设置规则么?是不是IE只要联网这里就会有变化,不是说有不少访问的记录啥的都是存这个文件里?

xpn282
 楼主| 发表于 2007-3-28 20:44:36 | 显示全部楼层

回复 #16 icka 的帖子

我没用过犀牛和GSS..但我知道他们很不错..是你自己没设置好规则的 我是禁止了在C盘创建BAT文件了....呵呵

谁能点一下那个网站呢
icka
发表于 2007-3-28 20:49:54 | 显示全部楼层
原帖由 icka 于 2007-3-28 20:38 发表
看来加的规则还是不够多啊.

为啥我GSS和犀牛都看不到链接的那个IP? GSS啥规则都没弄

我用代理上的,就只能看到访问代理IP的一个端口,然后就没啥动静了..

第一个index.dat这些还需要设置规则么?是不是I ...



下面专门对它加规则拦截的.

2007-3-28 20:45:01 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:44:12
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3092
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:45:06 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:45:01
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3092
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:01 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:46:57
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:05 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:01
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:22 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:05
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\COOKIES\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:28 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:22
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\COOKIES\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:34 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:28
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:38 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:34
   类型: 编辑一个文件/目录
   风险: 中等
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件:C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   
   对象
   文件/目录: C:\DOCUMENTS AND SETTINGS\ABC\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT
   用户操作: 允许
   ***************************************************
2007-3-28 20:47:50 !**************************************************
   Safe'n'Sec 警报
   行为
   时间: 2007-3-28 20:47:40
   类型: 建立了一个网络连接并且通过这个连接传输数据
   风险: 中等
   
   行为监控规则
   名称: Rule No. 0
   
   程序
   PID: 3240
   PPID: 228
   UID: A\abc
   文件: C:\DOCUMENTS AND SETTINGS\ABC\桌面\GENGXIN.EXE
   方向: 输出
   协议: UDP
   本地地址: 127.0.0.1:1272
   远程地址:127.0.0.1:1272
   用户操作: 允许
   ***************************************************

那个临时文件夹里的INDEX.DAT有危险么?
记得沙箱里,你只要打开个IE,临时文件夹里就多个这个文件.还以为是无害的呢.
icka
发表于 2007-3-28 20:53:34 | 显示全部楼层
原帖由 xpn282 于 2007-3-28 20:44 发表
我没用过犀牛和GSS..但我知道他们很不错..是你自己没设置好规则的 我是禁止了在C盘创建BAT文件了....呵呵

谁能点一下那个网站呢

网站我点了,也没什么异常....

那个病毒代码里就直接是EXE地址哦..

怎么出来个网页..
xpn282
 楼主| 发表于 2007-3-28 21:05:25 | 显示全部楼层
那个临时文件夹里的INDEX.DAT有危险么?
记得沙箱里,你只要打开个IE,临时文件夹里就多个这个文件.还以为是无害的呢.


我的IE自己不生成BAT文件啊
如果是恶意程序生成的BAT文件    那肯定是有害咯


原帖由 icka 于 2007-3-28 20:53 发表

网站我点了,也没什么异常....

那个病毒代码里就直接是EXE地址哦..

怎么出来个网页..

是我弄错了

[ 本帖最后由 xpn282 于 2007-3-28 21:08 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-30 00:01 , Processed in 0.101598 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表