微点主动防御软件测试[09月测试][更新至10.09.29]检测率[65.71%]

wcj20236

回复 30楼 jefffire  的帖子

创建这个文件并隐藏C:\WINDOWS\system32\Darkbomb.dll
。



以下为那个BAT内容：

rundll32.exe Darkbomb.dll FunctionStart

说白了就是加载它。

jefffire

回复

创建这个文件并隐藏C:\WINDOWS\system32\Darkbomb.dll
。



以下为那个BAT内容：
说白了就 ...
wcj20236 发表于 2010.9.10 12:02

原来如此，我怀疑这个样本是不是专门针对微点的

Lgwu

回复 32楼 jefffire  的帖子

jefffire 竟然跑这里来了。虚拟机已独立分配出MD和微点两个干净系统。本来想测试微点的，后来又懒了，到现在还未进行。
   

jefffire

回复

jefffire 竟然跑这里来了。虚拟机已独立分配出MD和微点两个干净系统。本来想测试微点的，后 ...
Lgwu 发表于 2010.9.10 19:58

支持测试

深秋

成绩很好么～

啊弥陀佛

10号微点主防不报的一个简单分析

ab7 (1).exe运行后提示没有找到组件（缺少一个dll文件），无法运行，微点不报

ab7 (2).exe运行后即刻退出，无联网，无衍生物，微点不报

ab7 (3).exe运行后微点报衍生物未知木马，源程序微点不报

ab7 (9).exe运行一会后系统蓝屏，微点未报

ab7 (12).exe运行后即刻退出，无联网，无衍生物，微点不报

ab7 (13).exe运行后即刻退出，无联网，无衍生物，微点不报

ab7 (17).exe运行后提示出错，微点不报

ab7 (26).exe运行后在桌面生成淘宝网图标，有部分衍生物微点报未知木马，源程序微点未报

ab7 (32).exe运行后提示没有找到组件（缺少一个dll文件），无法运行，微点不报

ab7 (33).exe运行后提示出错，微点不报

我是UD

总觉得每次都会有部分样本重复（至少在行为上是重复的）

啊弥陀佛

11号微点主防不报的一个简单分析
Besttranslater (1)运行后程序立即退出，未创建衍生物，未写注册表，微点不报。
Besttranslater (6)运行后，以dos窗口打开，立即退出，未创建衍生物，未写注册表，微点不报。
Besttranslater (8)运行后，在临时文件夹下，创建衍生物，并写注册表，微点报警，并删除，主程序没报
Besttranslater (9)运行后，网络有连接，并下载程序，自动运行后，系统蓝频重启。重启后病毒未运行。
Besttranslater (15)运行后，创建衍生物，并写注册表，微点报警，并删除，主程序没报
Besttranslater (18)运行后程序立即退出，未创建衍生物，未写注册表，微点不报。
Besttranslater (20)运行后程序弹出错误窗口，未创建衍生物，未写注册表，微点不报。
Besttranslater (21)运行后程序立即退出，未创建衍生物，未写注册表，微点不报。

啊弥陀佛

12号微点主防不报的一个简单分析

2070fa (3).exe运行后衍生物微点报已知和未知，源程序微点未报

2070fa (7).exe运行后即刻退出，无联网，无衍生物，微点不报

2070fa (13).exe运行后即刻退出，无联网，无衍生物，微点不报

2070fa (21).exe运行后一段时间退出，无联网，无衍生物，微点不报

jefffire

总觉得每次都会有部分样本重复（至少在行为上是重复的）
我是UD 发表于 2010.9.10 22:07

每天的样本虽然挺多，但实际上不少都是一个类型样本做了变形免杀而已。而且在一个时期内，都是这种样本。


PS：今天开始样本类型发生变化了