==============2X过掉主防，囧囧囧 大家来测测 =============================

√×√×√√×

dm34343667 发表于 2011-2-12 14:28
刚才试了   18那个只是强制安装  没别的行为

3Q MJ

囧，顺便提一下，刚才试了下。微点等同样被完过。（如果开防火墙会有联网提示，但不会报毒）另外因为该样本采用了白羊上面提到的“特殊路径”生成，所以无论是微点的进程管理还是冰刃，都无法干掉病毒的“360SATA”这个进程的，但是360则可以~

XMonster

√×√×√√× 发表于 2011-2-12 15:03
囧，顺便提一下，刚才试了下。微点等同样被完过。（如果开防火墙会有联网提示，但不会报毒）另外因为该样 ...

微点对流氓不感冒

冰刃不可以？  这么NX

√×√×√√×

dm34343667 发表于 2011-2-12 15:07
微点对流氓不感冒

冰刃不可以？  这么NX

特殊路径生成，冰刃是干不掉的。试试就知道~

XMonster

√×√×√√× 发表于 2011-2-12 15:09
特殊路径生成，冰刃是干不掉的。试试就知道~

http://bbs.kafan.cn/thread-908877-1-1.html  看下

很奇怪  在  C:\Windows\System32\IME 路径下生成了  pxro.exe

√×√×√√×

dm34343667 发表于 2011-2-12 15:35
http://bbs.kafan.cn/thread-908877-1-1.html  看下

很奇怪  在  C:\Windows\System32\IME 路径下生成 ...

囧，我这测试没发现任何可疑行为，启动进程后加载了DLL，然后就挂在那里了，没有生成任何文件，也没有联网 更没有写启动项和系统服务什么的，什么都没有。
（当然可能进行了一些例如重命名替换等操作这个没法看到。囧，不过我想应该没有的吧。。。。）

Tron

dm34343667 发表于 2011-2-12 15:35
http://bbs.kafan.cn/thread-908877-1-1.html  看下

很奇怪  在  C:\Windows\System32\IME 路径下生成 ...

一个改首页流氓的释放出来的一个EXE，本身行为不多，主防可以拦截其本体。

星空下的吻

这么热闹啊！！前来推销RX5.exe
RX全自动秒杀




18.exe已经入库，就一流氓，主防无视启动项无变化

√×√×√√×

星空下的吻 发表于 2011-2-12 16:11
这么热闹啊！！前来推销RX5.exe
RX全自动秒杀

难得见星星发力一会，话说你那图截的，不能把路径显示的完整一点啊

Tron

星空下的吻 发表于 2011-2-12 16:11
这么热闹啊！！前来推销RX5.exe
RX全自动秒杀

这秒杀看起来是特征

星空下的吻

回复 29楼 Tron 的帖子

不是的，扫描是查不出来的