无聊测主防

显示全部楼层 · 发表于 2010-5-4 18:58:24

本帖最后由白羊座于 2010-5-4 19:43 编辑

测试样本

360版本（4分足够了）
1号样本，按图上的顺序来吧，懒得编号了

悲剧了

日志一大堆

时间操作说明拦截次数
18:46:10 已清除发现木马：TR/Dldr.Delf.aaaz 1
详细描述：
木马名称：TR/Dldr.Delf.aaaz
所在路径：C:\Program Files\Common Files\Setup.exe
18:46:09 已清除发现木马：Adware/Win32.Heur.yu8@GeZmvXlb 1
详细描述：
木马名称：Adware/Win32.Heur.yu8@GeZmvXlb
所在路径：C:\DOCUME~1\ZHAOYU~1\LOCALS~1\Temp\fjbxkgt3\p.dll
18:46:08 已清除发现木马：TrojanDownloader/Win32.Adload.NFC 1
详细描述：
木马名称：TrojanDownloader/Win32.Adload.NFC
所在路径：C:\Program Files\Common Files\player024.exe
18:46:06 已清除发现木马：Adware/Win32.WSearch.AD 1
详细描述：
木马名称：Adware/Win32.WSearch.AD
所在路径：C:\WINDOWS\35.tmp
18:46:00 自动阻止修改系统目录 1
详细描述：
进程：C:\Program Files\Common Files\Setup.exe
动作：修改
路径：C:\WINDOWS\system32\98fc064eef.dll
18:45:55 自动阻止修改关键应用程序文件 1
详细描述：
进程：C:\Program Files\Common Files\IETimbar(-67107989).exe
动作：删除
路径：C:\Program Files\Internet Explorer\IETimbar\Uninstall.exe
18:45:55 自动阻止修改关键应用程序文件 1
详细描述：
进程：C:\Program Files\Common Files\IETimbar(-67107989).exe
动作：试图修改
路径：C:\Program Files\Internet Explorer\IETimbar\Uninstall.exe
18:45:54 自动阻止修改浏览器插件 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1163E531-B58E-4BB9-B877-0906A0A22AEC}
注册表内容：
进程：C:\WINDOWS\system32\regsvr32.exe
18:45:54 自动阻止修改浏览器插件 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1163E531-B58E-4BB9-B877-0906A0A22AEC}
注册表内容：
进程：C:\WINDOWS\system32\regsvr32.exe
18:45:54 自动阻止修改关键应用程序文件 1
详细描述：
进程：C:\Program Files\Common Files\IETimbar(-67107989).exe
动作：试图修改
路径：C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll
18:45:54 自动阻止修改关键应用程序文件 1
详细描述：
进程：C:\Program Files\Common Files\IETimbar(-67107989).exe
动作：重命名
路径：C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll.old
18:45:54 自动阻止修改关键应用程序文件 1
详细描述：
进程：C:\Program Files\Common Files\IETimbar(-67107989).exe
动作：删除
路径：C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll
18:45:51 自动阻止修改系统目录 3
详细描述：
进程：C:\WINDOWS\35.tmp
动作：重命名
路径：C:\DOCUME~1\ZHAOYU~1\LOCALS~1\Temp\fjbxkgt3\p.dll

总结在26楼，我给这次测试中360的打分是75，防木马不成问题了，但是流氓推广和广告没挡住，而且木马来袭（尤其是下载者集团进攻）的时候框真的很多，点得手疼

显示全部楼层 · 发表于 2010-5-4 18:58:48

占个沙发的，LZ辛苦

显示全部楼层 · 发表于 2010-5-4 18:59:54

2号好像是死链的下载者，谁能出动作的联系我

显示全部楼层 · 发表于 2010-5-4 19:02:15

3号太无聊了，就一个启动项，结果还没成功
时间操作说明拦截次数
18:58:01 已阻止修改开机启动项 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[M5T8QL3YW3]
注册表内容：E:\VL\0504-1-11-10.exe
进程：E:\VL\0504-1-11-10.exe

显示全部楼层 · 发表于 2010-5-4 19:03:57

本帖最后由白羊座于 2010-5-4 19:05 编辑

4号如出一辙，好像也是死链了，木马都下载不下来

ps：3-4号好像是一族

显示全部楼层 · 发表于 2010-5-4 19:04:07

听说国内区版规规定不能贴日志，但是特殊内容除外，不知道这里面有什么特殊内容不？

显示全部楼层 · 发表于 2010-5-4 19:06:26

仔细看了看，是不准发升级日志，不是动作日志。哈！白羊兄继续

显示全部楼层 · 发表于 2010-5-4 19:06:38

老羊，为什么不打全补丁再测啊？

显示全部楼层 · 发表于 2010-5-4 19:08:48

5号比较猛的，直接上驱动

拦截驱动后不见了

显示全部楼层 · 发表于 2010-5-4 19:11:10

6号一样的，估计又是同一族

拦截后消失

[砖头] 无聊测主防

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源