系统：winxp-sp3

浏览器ie6  猎豹


操作：运行样本！升级瑞星到最新版，并且设置取消 自动放行签名和云文件！


结果：新增2个进程svchost.exe、rundll32.exe，用途不明，这些进程中均含有来源不明的病毒模块




当用户打开安装包后，由msiexec.exe负责执行安装包中所描述的操作，这个程序又被称为Windows Installer。最近，出现少数病毒把自己包装成安装包的形式，利用Windows Installer来执行它们想要的操作。软件安装过程中需要更改较多系统设置，故很多HIPS都会信任安装程序。这样也便宜了那些藏在安装包里的病毒！



瑞星 拦截失败！！！



 附件: 您所在的用户组无法下载或查看附件



上传样本和日志

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER