1   1  /  1  页   跳转

RIS2010完全漏掉的一个脚本病毒

RIS2010完全漏掉的一个脚本病毒

样本来源:http://bbs.ikaka.com/showtopic-8646923.aspx


样本运行后,RIS2010网络监控只报告wscript.exe访问网络(信任+放行)。

相关截图:


进程




端口



病毒开启的IE进程(无IE窗口打开)



释放/下载的文件


注册表改动



用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
分享到:
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表
呵呵,这东西我上报云安全居然说是安全文件,十分怀疑云安全分析的正确率  


我这里处理比较简单:
1、结束wscript.exe及ie浏览器进程。
2、CA HIPS回滚。搞掂
gototop
 

回复: RIS2010完全漏掉的一个脚本病毒



引用:
原帖由 wslyx 于 2009-7-24 15:27:00 发表

你没有运行到时候,运行到时候的话,直接死机。太多乱七八糟的东西要按了

 


我的CA HIPS可不是摆设
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT