瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 ZeroAccess新变种用FlashPlayer插件更新迷惑用户

1   1  /  1  页   跳转

[原创] ZeroAccess新变种用FlashPlayer插件更新迷惑用户

ZeroAccess新变种用FlashPlayer插件更新迷惑用户

http://bbs.ikaka.com/showtopic-9164918.aspx,这个帖子描述了WIN8下观察此马的初步结果。当时不明白此毒运行时为啥有FlashPlayer插件更新伴行。

调整了一下CA HIPS的监控设置,在CA HIPS监控下重新运行样本,弄清了这个问题。原来这是病毒释放的烟幕(病毒运行过程中安装到%system%\macromed\flash目录下的程序木有问题)。

此毒的这种行为仅见于WIN7 及 WIN8 系统。在XP系统中运行此毒,并无此现象。估计可能是WIN7 及 WIN8 系统限制在WINDOWS目录及其子目录下随便创建目录所致(XP系统无此限制)。

























弄死这个ZeroAccess木马的关键一步:







核实 CA HIPS 的防护结果:










用户系统信息:Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61
分享到:
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

CA HIPS的监控摘要:









最后编辑baohe 最后编辑于 2012-03-15 09:26:33
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

前排学习
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

改变描述符号是什么?
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

最新FLASH经常升级,不过不是这个毒
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

该用户帖子内容已被屏蔽
gototop
 

回复 4F 奇缘の随风 的帖子

sdasdasd
gototop
 

回复:ZeroAccess新变种用FlashPlayer插件更新迷惑用户

搞不懂:
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT