过360【病毒样本】

695580825

系统：XP SP3

安全软件 360安全卫士（最新测试版）360杀毒最新尝鲜版

测试：360卫士没报毒 并且运行之后没反应

样本行为：运行之后只观察到hosts被改，无进程残留，屏蔽一些安全网站，

将淘宝等网页导向taobao.con.cn，但点击后又会跳转到taobao.com

原帖：http://bbs.kafan.cn/thread-996169-1-1.html

z13667152750

楼主自己测试过没有,需要改MD5

因为已经入库了

天下无雪

卫士和杀毒均直接报毒，楼主的搞笑功夫不是盖的，每次剽窃别人的东西从不测试
看了原帖才知道又是直接抄袭人家8、9楼的帖子而不注明，实在鄙视这种剽窃行为，楼主貌似不是一次两次了

SK云少

LZ魅力负3了
= = 发帖子的时候 拜托自己有自己的主见 拷贝剽窃流 去百度知道玩吧

-oAo-

天下无雪 发表于 2011-6-1 01:26
卫士和杀毒均直接报毒，楼主的搞笑功夫不是盖的，每次剽窃别人的东西从不测试
看了原帖才知道又是直接抄袭 ...

也许是360云得功劳，你测的时候已经入库了

langsileaa

采用多种方法修改文件MD5，程序运行全部报错，测试暂时中止。




测试部分信息：
一、文件带有版本和不可用数字签名。




二、文件PEID信息。




三、文件动作（MD跟踪）。

2011-6-1 10:08:08    底层磁盘操作    允许
进程: d:\common.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*

2011-6-1 10:08:11    修改注册表值    允许
进程: d:\common.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache

2011-6-1 10:08:12    修改注册表值    允许
进程: d:\common.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies

2011-6-1 10:08:13    修改文件    允许
进程: d:\common.exe
目标: C:\WINDOWS\system32\drivers\etc\hosts
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32\drivers\etc\*

2011-6-1 10:08:14    设置文件夹隐藏属性    允许
进程: d:\common.exe
目标: C:\WINDOWS\system32\drivers\etc
规则: [应用程序]* -> [文件]*

四、修改hosts文件，设置etc文件夹隐藏属性。【附带前后hosts内容对比】

星空下的吻

这个样本找测试过了,不会过360,楼主看来又是没有测试的结果...
动作如下:修改动态组件添加自启动,并修改host