淘宝的宝2

显示全部楼层 · 发表于 2011-5-31 22:24:23

dongwenqi 发表于 2011-5-31 21:07
上报卡巴斯基

2012的卡巴斯基杀

显示全部楼层 · 发表于 2011-5-31 22:25:52

360卫士 8.1报安全......

显示全部楼层 · 发表于 2011-5-31 22:34:11

高启发，to ESET.
G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\详细套餐及配置.rar > ACE > tupianshuominga.exe - 未查明的 NewHeur_PE 病毒

每次遇到这种ace神马的高启发都要扫好久......

显示全部楼层 · 发表于 2011-5-31 23:52:20

2011-5-31 23:44:59 停止驱动程序或服务阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: Windows Firewall/Internet Connection Sharing (ICS)
文件路径: C:\WINDOWS\system32\svchost.exe -k netsvcs
规则: [应用程序]*

2011-5-31 23:44:59 停止驱动程序或服务阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
规则: [应用程序]*

2011-5-31 23:45:02 修改注册表值阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]本地磁盘分区 -> [注册表组]IE设置一般

2011-5-31 23:45:02 删除注册表值阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]本地磁盘分区 -> [注册表组]IE设置重要

2011-5-31 23:45:02 删除注册表值阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]本地磁盘分区 -> [注册表组]IE设置重要

2011-5-31 23:45:02 修改注册表值阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 5a 04 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 30 8a 7a 73 bb 1e cc 01 01 00 00 00 c0 a8 01 02 00 00 00 00 00 00 00 00 02 00 00 00 02 00 00 00 c0 a8 01 02 00 00 00 00 00 00 00 00 01 03 00 00 00 00 00 00 80 03 00 00 00 00 00 00 00 02 00 00 00 00 00 00 80 02 00 00 00 00 00 00 00 02 00 00 01 00 00 00 80 02 00 00 01 00 00 00 00 02 00 00 02 00 00 00 80 02 00 00 02 00 00 00 00 02 00 00 03 00 00 00 37 00 32 00 35 00 33 00 34 00 35 00 35 00 34 00 33 00 2d 00 31 00 30 00 30 00 33 00 5c 00 53 00 6f 00 66 00 74 00 77 00 02 00 00 00 c0 a8 38 01 00 00 00 00 00 00 00 00 6f 00 73 00 6f 00 66 00 74 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 5c 00 41 00 70 00 70 00 43 00 6f 00 6d 00 70 00 61 00 74 00 46 00 6c 00 61 00 67 00 73 00 5c 00 4c 00 61 00 79 00 65 00 72 00 73 00 00 00 00 00 00 00
规则: [应用程序组]本地磁盘分区 -> [注册表组]网络设置

2011-5-31 23:45:02 修改文件阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]本地磁盘分区 -> [文件]\device\namedpipe\*

2011-5-31 23:45:02 修改文件阻止
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]本地磁盘分区 -> [文件]\device\namedpipe\*

2011-5-31 23:45:03 创建文件阻止并结束进程
进程: e:\downloads\详细套餐及配置\tupianshuominga.exe
目标: C:\WINDOWS\QQ.exe
规则: [应用程序组]本地磁盘分区 -> [文件组]系统执行文件

显示全部楼层 · 发表于 2011-6-1 00:07:12

红伞和小a都不报，赶紧上报。

显示全部楼层 · 发表于 2011-6-1 00:09:25

本帖最后由 wjcharles 于 2011-6-1 00:10 编辑

jefffire 发表于 2011-5-31 21:10
7z无法解压。。。

那个QQ.exe貌似有数字签名，xurtr、windows属性、诺顿文件分析都正常

显示全部楼层 · 发表于 2011-6-1 00:16:38

MSE
TrojanSpy:Win32/Alipay

显示全部楼层 · 发表于 2011-6-1 00:20:19

签名很有趣

是支付宝的发布的个人签名,而且有效,以前有人提到过这种思路,还真有人用这个方法

本来是用来保护申请者支付宝帐号安全的,却用来干这个

显示全部楼层 · 发表于 2011-6-1 00:21:16

minchaovip 发表于 2011-5-31 22:25
360卫士 8.1报安全......

360卫士还是不支持ace的解压......

解压后360卫士云监控干掉了

360杀毒才可以解压

显示全部楼层 · 发表于 2011-6-1 00:22:04

jefffire 发表于 2011-5-31 21:10
7z无法解压。。。

ace必须用好压解压

我也很无语,我曾经在虚拟机中解压过

[病毒样本] 淘宝的宝2

本帖子中包含更多资源