是否过【360的样本】大家来共同测试

显示全部楼层 · 发表于 2011-2-25 10:21:41

保镖拦截，确认不在白名单，但不见得就是黑的，

前两天偶还上报了两个被保镖拦截的，一个游戏和一个小软件，然后360就加白了，不再拦截。

显示全部楼层 · 发表于 2011-2-25 10:22:36

本帖最后由 695580825 于 2011-2-25 10:23 编辑

√×√×√√× 发表于 2011-2-25 10:21
囧，你真可怜，还修改主页？你告诉我哪一个键值和动作时修改主页的。有能耐你说啊

说这么多废话解释这么多

就是想掩饰为什么360没反应！呵呵 O(∩_∩)O哈哈~

事实就是360无反应，这是事实，在说别的都是扯淡。

既然不在白名单中，而又有这么多行为？难道都是宇宙正常之行为？哈哈

在线扫描结果

http://www.virustotal.com/file-s ... d67568a5-1298583642

显示全部楼层 · 发表于 2011-2-25 10:24:59

亡灵之月发表于 2011-2-25 10:21
保镖拦截，确认不在白名单，但不见得就是黑的，

前两天偶还上报了两个被保镖拦截的，一个游戏和一个小软 ...

请把这些样本上报360后

然后再升级之后你看你可爱的宇宙第一360是否入库可杀吧

这个方法简单吧？呵呵

显示全部楼层 · 发表于 2011-2-25 10:25:17

回复 28楼 √×√×√√× 的帖子

总是有人在这个区里捣乱，我们别管他了，请教下你别的东西，你是如何对病毒进行行为分析呢，这点我想学这个，感激不尽 ^^

显示全部楼层 · 发表于 2011-2-25 10:26:44

不给你们意淫了，继续你们的宇宙第一吧。【过就是过】没有100%

哥要出门潇洒消费了~可怜的人啊，就知道玩杀软测，自卑？宅？......呵呵

显示全部楼层 · 发表于 2011-2-25 10:28:03

本帖最后由小紫英于 2011-2-25 10:29 编辑

可怜的楼主小白到就知道一个在线扫描结果来判断文件黑白了
ps：希望这次不要说什么装装小白有好处的话了

显示全部楼层 · 发表于 2011-2-25 10:28:43

√×√×√√× 发表于 2011-2-25 10:14
囧，第一个test样本
C:\Documents and Settings\xice\Local Settings\Temporary Internet Files\Content.I ...

这网站名不符实啊，居然没有爱情加动作的片子

显示全部楼层 · 发表于 2011-2-25 10:29:12

白金TV版和test是一个程序，但MD5不同

以下是黄金绿色版和黄金修复版的行为

创建进程：
C:\Documents and Settings\xice\桌面\5X\黄金版TV 免驱修复版\超高清TV\qwe\黄金版TV.exe
创建文件：
C:\Documents and Settings\xice\Local Settings\Temp\~DF2D34.tmp
C:\Documents and Settings\xice\Local Settings\Temporary Internet Files\Content.IE5\2T0ZI9AD\cmp[2].swf
C:\Documents and Settings\xice\Local Settings\Temporary Internet Files\Content.IE5\2T0ZI9AD\EnTV[1].htm
C:\Documents and Settings\xice\Local Settings\Temporary Internet Files\Content.IE5\GX25GD8J\cmp[2].js
C:\Documents and Settings\xice\Local Settings\Temporary Internet Files\Content.IE5\QP8F4XYP\btn_go_link[2].png
创建注册表项：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\History
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Local AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\AutoDetect
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common AppData
网络连接：
出站TCP访问 50.6.232.2 端口：1252 1253 访问的都是和之前一样的那个网站的同一个IP地址
服务依旧是：
Remote Access Connection manager
windows audio
system event notification

显示全部楼层 · 发表于 2011-2-25 10:29:30

了解…

显示全部楼层 · 发表于 2011-2-25 10:31:57

小紫英发表于 2011-2-25 10:28
可怜的楼主小白到就知道一个在线扫描结果来判断文件黑白了
ps：希望这次不要说什么装装小白有好处的话了

干一行像一行

装就要装的像。

[讨论] 是否过【360的样本】大家来共同测试

评分