样本区的这个东西卫士没防住？

显示全部楼层 · 发表于 2011-4-22 14:06:46

在样本区看到个东西http://bbs.kafan.cn/thread-965564-1-1.html，改了MD5后运行，只开卫士的话，卫士无反应，再开卫士的网购保镖时，发现好像一下就显示开了，扫描过程都没显示一下，重启机子还是会出个错误框，有个进程自动启动了(C:\WINDOWS\svchosterrtrtr.exe)，看木马防火墙日志，无任何记录，有人分析下吗，是无害的还是卫士没防住?
杀毒扫出来的

显示全部楼层 · 发表于 2011-4-22 14:19:28

可以拦截，网购保镖可以检出，你的版本太老了吧。

显示全部楼层 · 发表于 2011-4-22 14:27:39

本帖最后由潜水队员于 2011-4-22 14:28 编辑

回复 2楼 Tron 的帖子

是普通状态，等样本运行后再开的网购保镖，但这时应该已经被破坏了，7.7正式版，虚拟机中试过两次，WinHex改的，故意开机多等了好一阵，排除了那个响应时间的问题，结果没任何提示就出个系统不支持的错误框，那个svchosterrtrtr.exe就已经出现在任务管理器中了。

显示全部楼层 · 发表于 2011-4-22 14:29:39

潜水队员发表于 2011-4-22 14:27
回复 2楼 Tron 的帖子

是普通状态，等样本运行后再开的网购保镖，但这时应该已经被破坏了，7.7正式版，虚 ...

测试8.0BETA下，完美拦截，7.7应该也可以拦截，你可能没升级到最新。

显示全部楼层 · 发表于 2011-4-22 14:35:11

本帖最后由 fzq198776 于 2011-4-22 14:36 编辑

晕~~~，运行后微点主防2.0毫无反应。。。。。。。。。。。。。。。。。。。
PS：360卫士好像也就拦截了个修改组策略啊？？这个算拦截成功了，额？？

显示全部楼层 · 发表于 2011-4-22 14:36:57

fzq198776 发表于 2011-4-22 14:35
晕~~~，运行后微点主防2.0毫无反应。。。。。。。。。。。。。。。。。。。
PS：360卫士好像也就拦截了 ...

对，组策略就是自启动方式，然后这个木马会被网购保镖清理掉。

显示全部楼层 · 发表于 2011-4-22 14:42:49

Tron 发表于 2011-4-22 14:36
对，组策略就是自启动方式，然后这个木马会被网购保镖清理掉。

最让我伤心的是微点主防居然毫无反应啊！！！！！！！郁闷。。。。。。
对了，我这里有一个超猥琐的盗QQ木马，不晓得卫士能拦截不？
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=949444
我指的是主防能不能拦截啊，不是说的特征码

显示全部楼层 · 发表于 2011-4-22 14:43:17

本帖最后由 Tron 于 2011-4-22 14:44 编辑

重新测了一下，还是完美拦截：

拦截修改组策略自启动

木马添加软件限制策略试图阻止360网购保镖启动，不过无效

木马进程被扫描到，点暂停运行，结束，网购环境非常干净

显示全部楼层 · 发表于 2011-4-22 14:48:48

Tron 发表于 2011-4-22 14:43
重新测了一下，还是完美拦截：

拦截修改组策略自启动

MJ ，看看 7 楼德样本，莫非卫士的主防也不能拦截？？

显示全部楼层 · 发表于 2011-4-22 15:32:19

Tron 发表于 2011-4-22 14:43
重新测了一下，还是完美拦截：

拦截修改组策略自启动

ＭＪ　，半天　没吱声。。。莫非　３６０卫士　无视了？？？

[讨论] 样本区的这个东西卫士没防住？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分