在样本区发现一绕过360主防的样本

leisong

原来是劫持输入法的，很多人遗留点垃圾都会喊过了360主防

Tron

hudeg632 发表于 2011-1-28 10:18
回复 8楼 Tron 的帖子

谢谢MJ

这个输入法修改是特殊方式的，360主防在界面上将其转化为输入法注册表修改展现出来

但实际目前除了360主防没有任何安全软件可以拦截这个的输入法修改

Tron

leisong 发表于 2011-1-28 10:21
原来是劫持输入法的，很多人遗留点垃圾都会喊过了360主防

这个样本半年前还算是比较厉害的，而且除了360主防至今也没有主防或HIPS可防，参考12楼

hudeg632

真是比较面厉害的，我上个运行记录吧
文件系统详细信息 [查看: 全部详细信息] (全部)
--------------------------
    (文件夹) C:\Documents and Settings\Administrator\桌面\NEW
       (*)(文件) danger.exe
        2011-1-27 16:38, 458752 字节, A ==> 2011-1-27 16:38, 458752 字节, HS
    (文件夹) C:\Program Files
       (+)(文件) XGR.hta = 2011-1-28 10:32, 797 字节, A
    (文件夹) C:\Program Files\Common Files
       (+)(文件) 节前蔬菜要涨到何时.rar = 2011-1-28 10:33, 277542 字节, A
    (+)(文件夹) C:\Program Files\Common Files\PushWare
       (+)(文件) cpush.dll = 2011-1-6 15:52, 233472 字节, A
       (+)(文件) Uninst.exe = 2011-1-28 10:33, 33462 字节, A
    (+)(文件夹) C:\Program Files\Common Files\realteck
       (+)(文件) feoidq.pif = 2011-1-27 16:38, 458752 字节
    (+)(文件夹) C:\Program Files\Common Files\session
       (+)(文件) conlme.exe = 2009-8-17 20:00, 12598972 字节, A
   (文件夹) C:\WINDOWS\Fonts
       (+)(文件) od.ini = 2011-1-28 10:33, 172 字节, A
    (文件夹) C:\WINDOWS\system32
       (+)(文件) 1569640.LOG = 2009-8-17 20:00, 12741112 字节, A
       (+)(文件) 360ucat.exe = 2011-1-28 10:33, 8402153 字节, A
       (+)(文件) Packet.dll = 2011-1-28 10:33, 88952 字节, A
       (+)(文件) WanPacket.dll = 2011-1-28 10:33, 68480 字节, A
       (+)(文件) wpcap.dll = 2011-1-28 10:33, 240496 字节, A
    (文件夹) C:\WINDOWS\system32\drivers
       (+)(文件) npf.sys = 2011-1-28 10:33, 42000 字节, A
    (文件夹) C:\WINDOWS\Tasks
       (+)(文件) OVO.exe = 2011-1-28 10:33, 10489507 字节, A

见

zdlzp

程序：
C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMP\RAR$EX00.582\DANGER.EXE
木马程序生成以下文件：
1) C:\PROGRAM FILES\COMMON FILES\REALTECK\FEOIDQ.PIF
2) C:\WINDOWS\SYSTEM32\372856.LOG
是否删除木马程序及其衍生物?

要删除此类病毒需要重启系统,您是否需要重启机器?


微点主动防御软件  预升级
程序版本： 1.2.10581.0375
特征版本： 1.6.1763.110127
更新时间： 2011-01-27 15:32:58

傲尔

看看，呵呵

-oAo-

那就上报呀

あ掵㊣峫淰℡

Tron 发表于 2011-1-28 10:22
这个样本半年前还算是比较厉害的，而且除了360主防至今也没有主防或HIPS可防，参考12楼

mj，不是我拆你台

15L是怎摸回事？

Tron

あ掵㊣峫淰℡ 发表于 2011-1-28 16:55
mj，不是我拆你台

15L是怎摸回事？

15楼很明显是特征码呀，笨

zdlzp

Tron 发表于 2011-1-28 17:37
15楼很明显是特征码呀，笨

报的是未知木马，报特征码的可以连木马名称都能复制上去

你是怎么知道报的特征的?依据？