1   1  /  1  页   跳转

实战未知样本(二)

收藏
1p1
头像
拙长孩提狮
  • 帖子:131
  • 注册: 2009-06-24
  • 来自:
发表于: 2009-08-02 13:29 | 只看楼主 短消息 资料
字号: 1楼

实战未知样本(二)

这个文件调用wscript.exe,瑞星放行  下载病毒  但是也没有通过瑞星木马防御

扫描不报


运行后生成C:\WINDOWS\SYSTEM32\CONFIG\WINLOGON1.EXE
木马防御拦截


生成C:\WINDOWS\SYSTEM32\CONFIG\EXPLORER1.EXE

拦截

EXPLORER1.EXE创建文件失败


生成C:\WINDOWS\SYSTEM32\CONFIG\A.EXE

一样拦截


用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

附件附件:

你的下载权限 1 低于此附件所需权限 255, 你无权查看此附件

分享到:
gototop
 
1p1
头像
拙长孩提狮
  • 帖子:131
  • 注册: 2009-06-24
  • 来自:
发表于: 2009-08-02 13:30 | 只看楼主 短消息 资料
字号: 2楼

回复:实战未知样本(二)

下面我们测试EXPLORER1.EXE

生成clickeragent(1x430sdfsd33).exe 还有23.exe

23.exe成功拦截


但是clickeragent(1x430sdfsd33).exe  生成C:\windows\system32\nvsvc32.exe 连接网络





样本地址http://bbs.ikaka.com/showtopic-8650579.aspx
最后编辑1p1 最后编辑于 2009-08-02 13:41:05
gototop
 
Ravtest
头像
在线工程师
  • 帖子:174
  • 注册: 2009-06-29
  • 来自:
发表于: 2009-08-02 13:38 | 短消息 资料
字号: 3楼

回复:实战未知样本(二)

病毒样本已经收集,感谢您参与瑞星测试!
gototop
 
1p1
头像
拙长孩提狮
  • 帖子:131
  • 注册: 2009-06-24
  • 来自:
发表于: 2009-08-02 13:42 | 只看楼主 短消息 资料
字号: 4楼

回复: 实战未知样本(二)



引用:
原帖由 Ravtest 于 2009-8-2 13:38:00 发表
病毒样本已经收集,感谢您参与瑞星测试!


老猫版主的样本
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-08-02 13:44 | 短消息 资料
字号: 5楼

回复 2F 1p1 的帖子

http://bbs.ikaka.com/showtopic-8650526.aspx

像这类样本已经上报过几次。
不知RIS2010为何还是“未知”
gototop
 
瑞星工程师12
头像
在线技术支持工程师
  • 帖子:21624
  • 注册: 2008-09-08
  • 来自:RISING
发表于: 2009-08-05 13:48 | 短消息 资料
字号: 6楼

回复:实战未知样本(二)

样本已经提交分析,行为分析的问题正在修改中,我们会逐渐改进和完善行为分析的
最后编辑瑞星工程师12 最后编辑于 2009-08-05 13:49:02
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT