貌似过360主防的【样本】大家共同验证

kyzi

样本发病毒样本区了。下载卫士未知程序。卫士扫没发现。
http://bbs.kafan.cn/forum.php?mo ... d=964910&extra=

你想怎样

下载一个快播

695580825

你想怎样 发表于 2011-4-20 01:07
下载一个快播

很不好意思，这个版本的360无法防御 无任何提示（是病毒吧 快播在360白名单里会提示吗？）

看来微点有时还是挺不错的（真正不靠升级 行为多步分析 主动防御撒）

看看金山沙箱的数据也挺好的，3月13日的样本？呵呵...........

3月13封装的播放器，里面的数据都可以自动在更新不懂？（貌似下载器不懂？）远控的马什么时候中的和更新没关系

你想怎样

回复 13楼 695580825 的帖子

我当时第一次点击的时候是无权下载的 ，  是需要注册的。

我又怎么能知道里面是3.13封装什么播放器  

你明白了吗！

langsileaa

难道是我RP太好了？ 直接上图和行为日志，除了说句：如果把加载全局钩子的程序就鉴定为木马，那是大错特错了。加全局钩子只能说是有危险性，但仅仅是可能，而不是必定。
如果此行为就鉴定为木病毒木马，那无疑等同于说拿枪的都是坏人。

干净系统，只有MD和360卫士。运行样本：
1.输入密码界面：


2.中间注册相关提示信息：







3.读取影片列表：




4.安装完毕后程序界面：



5.点击任意影片，提示需要快播播放器：



点否选择不安装，样本无多余行为。




点是同意安装快播：



有完整的提示，调用快播P2P下载工具：



点取消可停止安装。无多余动作行为。

看MD日志：

2011-4-20 02:16:59    底层键盘操作    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
规则: [应用程序]*
2011-4-20 02:17:01    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache
2011-4-20 02:17:05    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies
2011-4-20 02:17:06    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; History
2011-4-20 02:17:07    访问网络    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: TCP [本机 : 1049] ->  [61.135.253.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-4-20 02:17:08    修改文件    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: C:\Documents and Settings\Administrator\Cookies\administrator@163[1].txt
规则: [文件组]文件安全读写规则(允许创建，阻止修改、删除) -> [文件]*; *.txt
2011-4-20 02:18:14    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\20110313.exe
目标: c:\windows\system32\taskkill.exe
命令行: TASKKILL /F /IM qqmusic.exe /IM ppgou.exe /IM bitspirit.exe /IM qqdownload.exe /IM emule.exe /IM webthunder.exe /IM flashbt.exe /IM bittorrent.exe /IM bitspirit.exe /IM qvod.exe /IM netants.exe /IM pplive.exe /IM qvod.exe /IM p2pplayer.exe /IM funshion.exe /I
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\taskkill.exe
2011-4-20 02:18:25    创建新进程    允许
进程: c:\windows\system32\taskkill.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

除了影片名字有碍风化外，软件行为可能涉及违法。就软件自身而言，还真没看出那里有危害，
有必要进行拦截的。如果这就算过360主防，那我可以随手就写个程序过掉。

F-secure2009

回复 15楼 langsileaa 的帖子

需要你这种人才啊

zjkzjy

感谢LZ分享，感谢老板的分析！这下可以放心收下了。

z13667152750

回复 13楼 695580825 的帖子

上报微点吧，很有可能是微点主防误报

5332666

不是病毒，也没过360主防。
话说看个爱动情动作片需要这么麻烦？网上免费种子一抓一大把。