ZeroAccess新变种用FlashPlayer插件更新迷惑用户 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 ZeroAccess新变种用FlashPlayer插件更新迷惑用户

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] ZeroAccess新变种用FlashPlayer插件更新迷惑用户

本主题由大版主 baohe 于 2012-7-4 19:44:43 执行主题置顶/取消操作

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2012-03-15 09:25 \| 只看楼主短消息资料字号：小中大 1楼 ZeroAccess新变种用FlashPlayer插件更新迷惑用户 http://bbs.ikaka.com/showtopic-9164918.aspx，这个帖子描述了WIN8下观察此马的初步结果。当时不明白此毒运行时为啥有FlashPlayer插件更新伴行。调整了一下CA HIPS的监控设置，在CA HIPS监控下重新运行样本，弄清了这个问题。原来这是病毒释放的烟幕（病毒运行过程中安装到%system%\macromed\flash目录下的程序木有问题）。此毒的这种行为仅见于WIN7 及 WIN8 系统。在XP系统中运行此毒，并无此现象。估计可能是WIN7 及 WIN8 系统限制在WINDOWS目录及其子目录下随便创建目录所致（XP系统无此限制）。 1.png (801.30 K) 2012-3-15 9:25:16 2.png (1068.31 K) 2012-3-15 9:25:16 3.png (224.78 K) 2012-3-15 9:25:16 4.png (229.82 K) 2012-3-15 9:25:16 5.png (1161.50 K) 2012-3-15 9:25:16 6.png (1312.74 K) 2012-3-15 9:25:16 弄死这个ZeroAccess木马的关键一步： 7.png (1238.64 K) 2012-3-15 9:25:16 核实 CA HIPS 的防护结果： 8.png (478.44 K) 2012-3-15 9:25:16 9.png (755.66 K) 2012-3-15 9:25:16 10.png (144.87 K) 2012-3-15 9:25:16 用户系统信息：Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2012-03-15 09:25 \| 只看楼主短消息资料字号：小中大 2楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户 CA HIPS的监控摘要： 00.PNG (594.04 K) 2012-3-15 9:26:33 000.PNG (175.17 K) 2012-3-15 9:26:33 baohe 最后编辑于 2012-03-15 09:26:33
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2012-03-15 09:39 \| 短消息资料字号：小中大 3楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户前排学习
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:	发表于： 2012-03-22 08:58 \| 短消息资料字号：小中大 4楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户改变描述符号是什么？
奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:

麦天麦客快乐黄口狮帖子:208 注册: 2010-10-26 来自:	发表于： 2012-03-28 22:12 \| 短消息资料字号：小中大 5楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户最新FLASH经常升级，不过不是这个毒
麦天麦客快乐黄口狮帖子:208 注册: 2010-10-26 来自:

黑暗メ骑士禁止发言帖子:16517 注册: 2010-12-08 来自:	发表于： 2012-05-05 18:07 \| 短消息资料字号：小中大 6楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户该用户帖子内容已被屏蔽
黑暗メ骑士禁止发言帖子:16517 注册: 2010-12-08 来自:

4239012 初生襁褓狮帖子:1 注册: 2012-06-01 来自:	发表于： 2012-06-01 20:08 \| 短消息资料字号：小中大 7楼回复 4F 奇缘の随风的帖子 sdasdasd
4239012 初生襁褓狮帖子:1 注册: 2012-06-01 来自:

regs115881 初生襁褓狮帖子:4 注册: 2012-06-14 来自:	发表于： 2012-06-14 00:06 \| 短消息资料字号：小中大 8楼回复：ZeroAccess新变种用FlashPlayer插件更新迷惑用户搞不懂:
regs115881 初生襁褓狮帖子:4 注册: 2012-06-14 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT