4-29 ,卫士云71.11%，+主防100%；QVM55.56%.

显示全部楼层 · 发表于 2011-4-1 22:02:18

本帖最后由 leisong 于 2011-4-1 22:06 编辑

补充27号测试，因为27号上个月几乎天天碰到，还以为是灰色样本没恶意动作呢，今天想想不对劲，如下图，它先提示修复浏览器主页，然后提示需要重启才能修复，之前没在意，现在才想到，修复下主页怎么会需要重启，肯定是重启时企图添加启动项，于是重新测了一下，果然如此

显示全部楼层 · 发表于 2011-4-1 22:05:29

支持测试。

显示全部楼层 · 发表于 2011-4-1 22:22:08

第一天测试，继续青睐支持，楼主加油，360加油

显示全部楼层 · 发表于 2011-4-2 00:01:50

本帖最后由 Tron 于 2011-4-2 00:28 编辑

leisong 发表于 2011-4-1 20:32
25号，可退出安装，
继续安装后干掉，遗漏以个服务项，是漏洞还是白文件？？？？？http://u.115.com/file/ ...

我这里测了多次，都可以拦截,楼主修正成绩吧

时间操作说明次数
23:58:47 已阻止驱动/服务 1
详细描述：
进程：C:\Documents and Settings\Administrator\Local Settings\Temp\nsp2B.tmp\resultbar.exe
动作：服务创建
路径："C:\Documents and Settings\All Users\Application Data\ResultBar\resultbar110.exe" "C:\Program Files\ResultBar\resultbar.dll" fecefexefi

另外，有完整安装包，没有静默安装，不像是恶意程序

显示全部楼层 · 发表于 2011-4-2 00:26:47

不错，支持一下。

显示全部楼层 · 发表于 2011-4-2 08:38:57

昨天断网的SD居然比卫士扫描还要牛。。。

显示全部楼层 · 发表于 2011-4-2 09:03:52

回复 1楼 leisong 的帖子

25號純QVM一開始判斷為待確定文件

显示全部楼层 · 发表于 2011-4-2 09:04:49

呀，断网都有84%，比以前提高了

显示全部楼层 · 发表于 2011-4-2 11:04:34

回复 29楼 leisong 的帖子

Hi leisong:
这个样本我们看过了, 最多只能算是带有有效数字签名的推广软件.
安装包释放出来的exe文件全部都有有效的数字签名.
而且其自己创建了卸载项, 可以很轻易的卸载干净.

另外其创建服务的动作是很正常的调用SC 去创建服务, 没有啥特殊的地方.
这个不属于被绕过. 而属于带有数字签名的正常软件被HIPS放过了.
请你确认下谢谢你.

显示全部楼层 · 发表于 2011-4-2 11:07:11

回复 49楼 eraylee 的帖子

OK! 我就是觉得这个是白文件，卡饭毒包的质量啊。。。。。？

我修改下标题

[讨论] 4-29 ,卫士云71.11%，+主防100%；QVM55.56%.

本帖子中包含更多资源