1   1  /  1  页   跳转

2013年3月1日 病毒样本24只

2013年3月1日 病毒样本24只

http://pan.baidu.com/share/link?shareid=311834&uk=51029884

用户系统信息:Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.14
分享到:
gototop
 

回复:2013年3月1日 病毒样本24只

这么多天过去了还有几个没有入库
wgsdgsdgdsgsd.exe
火眼点评:
        检测注入的进程是否为指定进程;确认账户大盗木马,该木马源于国外,其专门盗取存取于本地的各种账户信息,包括ftp账户、远程桌面账户及存储于浏览器中的各种账户信息。其尝试从如下确认的客户端软件配置中提取账号密码。;启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;修改函数入口点属性为可写;运行后删除自身,警惕恶意软件;远程注入其他进程;IE 代理服务器设置;设置远程线程上下文;添加Windows防火墙例外,防止访问网络时被防火墙拦截;创建进程;遍历磁盘类型;创建互斥体...

msdrat.exe
火眼点评:
      启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;设置远程线程上下文;下载文件;提升权限;IE 代理服务器设置;创建进程;创建互斥体;在其他进程中申请内存

~tmp1069943342355191510.exe
火眼点评:
      通过APC调用机制,远程注入代码并执行;运行后删除自身,警惕恶意软件;下载文件;IE 代理服务器设置;创建进程;在其他进程中申请内存

C962292DFE8E51A9.exe
火眼点评:
      隐藏自身到其他目录,常见木马行为;运行后删除自身,警惕恶意软件;拷贝自身到其他目录;查找文件;创建互斥体;添加开机自启动项;隐藏指定窗口

cqknsk77h17dtv1oq0vcqo.exe
火眼点评:
      启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程;远程注入其他进程;inline Hook 函数入口代码;IE 代理服务器设置;拷贝自身到其他目录;搜索指定窗口;创建进程;创建互斥体;在其他进程中申请内存
gototop
 

回复:2013年3月1日 病毒样本24只

这个倒是处理完了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT