1   1  /  1  页   跳转

[原创] 对Antivirus 2010病毒的分析

对Antivirus 2010病毒的分析

本人近日截获了一个仿造杀毒软件的病毒。这个病毒简直是太嚣张了。
今天我就来分析。分析的不好还请指教
1认识病毒样本
瑞星09查杀结果

接下来我们来运行

注意运行时我开着EQ和瑞星的主防还是开的最高级。
双击后eq和瑞星均无提示然后出现了画面
大家仔细的看图这个程序说我的电脑有病毒。而且仔细看他包的都是正常文件啊。
居然还要我付款。不管是更新还是清除都要注册码的。说白了就是要钱。
大家不要上当啊

别的分析见4楼
7楼
11楼和12楼
详细分析完成
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; EmbeddedWB 14.52 from: http://www.bsalsa.com/ EmbeddedWB 14.52; 360SE)
最后编辑ty88 最后编辑于 2008-10-19 15:21:58
分享到:
gototop
 

回复: 对Antivirus 2010病毒的分析

在发几个图
大家对比比
xp的安全中心

病毒


大家不要上当啊
gototop
 

回复: 对Antivirus 2010病毒的分析



引用:
原帖由 aaccbbdd 于 2008-10-19 14:24:00 发表


怎么没行为分析  

不是我不分析是他根本就没行为
gototop
 

回复:对Antivirus 2010病毒的分析

你们看瑞星和EQ的监控驱动都在的

我用沙盘运行一下是结果

你们自己看根本没什么危害就是骗钱的。
还卖那贵打死我也不买

不过还有个文件
这个可有危害了

马上开始行为分析
最后编辑ty88 最后编辑于 2008-10-19 14:59:28
gototop
 

回复: 对Antivirus 2010病毒的分析

http://av2010.net/
我在主页上下载了另一个程序这个才是他的真面目
运行后
发现试图修改hosts

并在hosts上加上了以下内容

然后创建了C:\Windows\System32\wingamma.exe这个文件

接着开始改注册表了
进程路径:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows Gamma Display


然后狐狸马脚出来了
2008-10-19 14:58:52        应用程序保护(结束/挂起进程) 
进程路径:C:\Program Files\Rising\Rav\RavMonD.exe
目标进程:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
呵呵开始结束瑞星了
不过很有趣。瑞星没被干掉。就连自我保护的气泡也没有

再后来出现了一系列金山的东西,不知是不是病毒创建这个就跳过好了
后来他试图起动先前的文件

接着又开始改系统了





本帖被评分 1 次
gototop
 

回复:对Antivirus 2010病毒的分析

接着上楼


就到这里。在后来的时间就没下文了
在回过头来看桌面已经出现了他的快捷方式
而且创建了程序文件

到此彻底结束了
最后编辑ty88 最后编辑于 2008-10-19 15:19:09
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT