求验证

显示全部楼层 · 发表于 2011-6-1 22:57:09

在线报的不多
但是奇怪的是 sandboxie下运行报错实体机下就没有报错窗口后来就没试下去了。。。。。。

显示全部楼层 · 发表于 2011-6-1 23:02:38

360网盾报毒了

显示全部楼层 · 发表于 2011-6-1 23:05:35

本帖最后由 a256886572008 于 2011-6-1 23:11 编辑

http://camas.comodo.com/cgi-bin/ ... 4738a6854f312ab37a8

Auto Analysis Verdict
Suspicious+

Suspicious Actions Detected
Creates autorun records
Injects code into other processes
Modifies the windows host file
Registers dynamic link libraries

2011-06-01 23:03:47 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Sandboxed As Partially Limited

2011-06-01 23:03:52 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Access COM Interface C:\WINDOWS\system32\svchost.exe

2011-06-01 23:03:52 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Modify File C:\WINDOWS\system32\wbem\Logs\wbemprox.log

2011-06-01 23:03:52 C:\WINDOWS\system32\NOTEPAD.EXE Sandboxed As Partially Limited

2011-06-01 23:03:56 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Scanned Online and Found Malicious

2011-06-01 23:03:57 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Modify Key HKLM\SOFTWARE\Classes\CLSID\{C083E222-F6DF-0FB3-D750-9BD406037F6A}

2011-06-01 23:03:57 C:\WINDOWS\system32\notepad.exe Direct Disk Access PhysicalDrive0

2011-06-01 23:04:05 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Modify File C:\WINDOWS\system32\drivers\etc\hosts

2011-06-01 23:04:05 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Access Memory System

2011-06-01 23:04:05 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe Modify File C:\WINDOWS\system32\drivers\etc

调用 notepad.exe 直接访问磁盘，不知道有无写磁盘？

------------------------------------
comodo 云查杀

2011-06-01 23:03:56 C:\Documents and Settings\Roger\桌面\VIRUS\Google\Google.exe
.Heur.Suspicious@1

显示全部楼层 · 发表于 2011-6-1 23:51:03

本帖最后由 saga3721 于 2011-6-1 23:54 编辑

这好像是昨天的一个样本的免杀版本……
OP7.1防火墙主防在这个样本身上可以看出不同，free版拦截框出现较少不过好像也是一样防住了，只是free版只要第一步拒绝了它OLE控制svchost的动作后面就会自动一路拒绝直接磁盘操作，注入等企图，不会像7.1pro和7.5那样一步步拦截得那么细给你弹框看行为，挑这个动作允许而那个动作不允许。
好像是这样的，OP防火墙的可以试试

显示全部楼层 · 发表于 2011-6-1 23:57:12

本帖最后由 hj5abc 于 2011-6-1 23:57 编辑

MSE修复hosts文件

显示全部楼层 · 发表于 2011-6-1 23:59:18

过大蜘蛛已上报
毛豆墙云启发干掉

显示全部楼层 · 发表于 2011-6-2 00:01:28

360 SD QVM09 Kill

显示全部楼层 · 发表于 2011-6-2 01:29:48

红伞也说是安全的

显示全部楼层 · 发表于 2011-6-2 06:01:27

360SD KILL

显示全部楼层 · 发表于 2011-6-2 08:04:29

to eset

http://samples.nod32.com.hk/inde ... 34056d2575dd9a9f703

[病毒样本] 求验证

本帖子中包含更多资源

本帖子中包含更多资源