对Antivirus 2010病毒的分析 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛对Antivirus 2010病毒的分析

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 对Antivirus 2010病毒的分析

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 14:18 \| 显示全部短消息资料字号：小中大 1楼对Antivirus 2010病毒的分析本人近日截获了一个仿造杀毒软件的病毒。这个病毒简直是太嚣张了。今天我就来分析。分析的不好还请指教 1认识病毒样本 1.JPG (93.52 K) 2008-10-19 14:17:53 瑞星09查杀结果 2.JPG (80.39 K) 2008-10-19 14:17:53 接下来我们来运行注意运行时我开着EQ和瑞星的主防还是开的最高级。双击后eq和瑞星均无提示然后出现了画面 3.JPG (59.18 K) 2008-10-19 14:17:53 4.JPG (111.03 K) 2008-10-19 14:17:53 大家仔细的看图这个程序说我的电脑有病毒。而且仔细看他包的都是正常文件啊。居然还要我付款。不管是更新还是清除都要注册码的。说白了就是要钱。大家不要上当啊别的分析见4楼 7楼 11楼和12楼详细分析完成用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ ; EmbeddedWB 14.52 from: http://www.bsalsa.com/ EmbeddedWB 14.52; 360SE) ty88 最后编辑于 2008-10-19 15:21:58
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	分享到：

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 14:21 \| 显示全部短消息资料字号：小中大 2楼回复: 对Antivirus 2010病毒的分析在发几个图大家对比比 xp的安全中心 6.JPG (51.98 K) 2008-10-19 14:21:15 病毒 3.JPG (59.18 K) 2008-10-19 14:21:15 5.JPG (106.99 K) 2008-10-19 14:21:15 大家不要上当啊
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 14:28 \| 显示全部短消息资料字号：小中大 3楼回复: 对Antivirus 2010病毒的分析引用: 原帖由 aaccbbdd 于 2008-10-19 14:24:00 发表怎么没行为分析不是我不分析是他根本就没行为
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 14:29 \| 显示全部短消息资料字号：小中大 4楼回复：对Antivirus 2010病毒的分析你们看瑞星和EQ的监控驱动都在的 1.jpg (91.68 K) 2008-10-19 14:59:28 我用沙盘运行一下是结果 3.jpg (40.12 K) 2008-10-19 14:59:28 你们自己看根本没什么危害就是骗钱的。还卖那贵打死我也不买 2.JPG (73.71 K) 2008-10-19 14:59:28 不过还有个文件这个可有危害了 4.jpg (3.56 K) 2008-10-19 14:59:28 马上开始行为分析 ty88 最后编辑于 2008-10-19 14:59:28
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 15:15 \| 显示全部短消息资料字号：小中大 5楼回复: 对Antivirus 2010病毒的分析 http://av2010.net/ 我在主页上下载了另一个程序这个才是他的真面目运行后发现试图修改hosts 2.jpg (33.62 K) 2008-10-19 15:14:31 并在hosts上加上了以下内容 1.jpg (59.04 K) 2008-10-19 15:14:31 然后创建了C:\Windows\System32\wingamma.exe这个文件 3.jpg (29.60 K) 2008-10-19 15:14:31 接着开始改注册表了进程路径:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表名称:Windows Gamma Display 5.jpg (35.40 K) 2008-10-19 15:14:31 6.jpg (29.38 K) 2008-10-19 15:14:31 然后狐狸马脚出来了 2008-10-19 14:58:52 应用程序保护(结束/挂起进程) 进程路径:C:\Program Files\Rising\Rav\RavMonD.exe 目标进程:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe 呵呵开始结束瑞星了不过很有趣。瑞星没被干掉。就连自我保护的气泡也没有 7.jpg (32.63 K) 2008-10-19 15:14:31 再后来出现了一系列金山的东西，不知是不是病毒创建这个就跳过好了后来他试图起动先前的文件 12.jpg (30.69 K) 2008-10-19 15:14:31 接着又开始改系统了 13.jpg (29.21 K) 2008-10-19 15:14:31 14.jpg (33.91 K) 2008-10-19 15:14:31 15.jpg (35.42 K) 2008-10-19 15:14:31 本帖被评分 1 次本帖被评分 1 次
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2008-10-19 15:15 \| 显示全部短消息资料字号：小中大 6楼回复：对Antivirus 2010病毒的分析接着上楼 16.jpg (34.39 K) 2008-10-19 15:19:09 17.jpg (35.81 K) 2008-10-19 15:19:09 就到这里。在后来的时间就没下文了在回过头来看桌面已经出现了他的快捷方式而且创建了程序文件 1.jpg (39.02 K) 2008-10-19 15:19:09 到此彻底结束了 ty88 最后编辑于 2008-10-19 15:19:09
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT