12   1  /  2  页   跳转

RIS2010完全漏掉的一个脚本病毒

RIS2010完全漏掉的一个脚本病毒

样本来源:http://bbs.ikaka.com/showtopic-8646923.aspx


样本运行后,RIS2010网络监控只报告wscript.exe访问网络(信任+放行)。

相关截图:


进程




端口



病毒开启的IE进程(无IE窗口打开)



释放/下载的文件


注册表改动



用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
分享到:
gototop
 

回复:RIS2010完全漏掉的一个脚本病毒

该用户帖子内容已被屏蔽
gototop
 

回复:RIS2010完全漏掉的一个脚本病毒

我发过了
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表
呵呵,这东西我上报云安全居然说是安全文件,十分怀疑云安全分析的正确率  


我这里处理比较简单:
1、结束wscript.exe及ie浏览器进程。
2、CA HIPS回滚。搞掂
gototop
 

回复:RIS2010完全漏掉的一个脚本病毒

ps下
那个样本极其牛X
还会顺便安装傲游,wps,暴风,pp加速器
等。。。
http://bbs.ikaka.com/showtopic-8646923.aspx上面的分析报告。。不就是我出的吗
样本我也发过了http://bbs.ikaka.com/showtopic.aspx?topicid=8644812&page=3
最后编辑ty88 最后编辑于 2009-07-24 15:35:59
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 baohe 于 2009-7-24 15:30:00 发表


引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表
呵呵,这东西我上报云安全居然说是安全文件,十分怀疑云安全分析的正确率 


我这里处理比较简单:
1、结束wscript.exe及ie浏览器进程。
2、CA HIPS回滚。搞掂

你没有运行到时候,运行到时候的话,直接死机。太多乱七八糟的东西要按了
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒

该用户帖子内容已被屏蔽
gototop
 

回复 7F wslyx 的帖子

瑞星的云安全不会自动识别BAT VBS等
就算你通过邮件或者论坛也不一定会入库,因为误报比较厉害
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表

你没有运行到时候,运行到时候的话,直接死机。太多乱七八糟的东西要按了

 


我的CA HIPS可不是摆设
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 baohe 于 2009-7-24 15:37:00 发表


引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表

你没有运行到时候,运行到时候的话,直接死机。太多乱七八糟的东西要按了



我的CA HIPS可不是摆设

论坛的BUG
好像是我发的贴吧
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT