卡饭论坛's Archiver



伞兵づ泡泡 发表于 2008-7-29 14:15

杀瑞星、过很多,热乎的ARP样本

今天帮同事清理时逮到的,X星瞬间被X,无法进入安全模式,ARP,把系统改得乱七八糟,n多进程线程

这个是我把我的U盘插上之后,被感染上的

我还没拿去虚拟机研究,大家看看

无密码,请小心

==============================

样本可能有问题……因为同事是从网络感染的(网马还是ARP忘了),我现在的样本是从我的U盘来的,所以可能不会完全一样

[[i] 本帖最后由 伞兵づ泡泡 于 2008-7-29 14:38 编辑 [/i]]

syfwxmh 发表于 2008-7-29 14:17

卡巴2009扫描miss
立体防御测试自动模式防御成功,该程序修改beep.sys程序
无数字签名

[[i] 本帖最后由 syfwxmh 于 2008-7-29 14:21 编辑 [/i]]

伞兵づ泡泡 发表于 2008-7-29 14:17

红伞、蜘蛛、Norman、咖啡杀

冰岛、Sophos、Ikarus杀

安博士杀

应该过不了行为拦截吧……

[[i] 本帖最后由 伞兵づ泡泡 于 2008-7-29 14:18 编辑 [/i]]

wangjay1980 发表于 2008-7-29 14:18

你那里看见数字签名?

九尾野狐 发表于 2008-7-29 14:21

之前测试过
[url]http://hi.baidu.com/eqsyssecurity/blog/item/b0b4b62225d22ba24723e826.html[/url]

是伪装自动更新

不是数字签名

woai_jolin 发表于 2008-7-29 14:21

这也可以叫数字签名

2008-7-29 14:21:30 Kernel File  'G:\v\MSDOS.EXE' was sent to ESET for analysis.

taiw_1144 发表于 2008-7-29 14:22

发现可疑程序
程序:
C:\DOCUMENTS AND SETTINGS\WO\LOCAL SETTINGS\TEMP\RAR$EX00.250\MSDOS.EXE
是可疑程序!
试图修改系统时间!
是否阻止该进程继续运行?

伞兵づ泡泡 发表于 2008-7-29 14:22

这个是叫做数字签名吧……

不过确实是伪装的

[[i] 本帖最后由 伞兵づ泡泡 于 2008-7-29 14:23 编辑 [/i]]

syfwxmh 发表于 2008-7-29 14:23

回复 8楼 伞兵づ泡泡 的帖子

这不是数字签名~[:15:]

Kitman 发表于 2008-7-29 14:24

Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:         [url]http://bbs.kafan.cn/attachment.php?aid=320087&k=f2d13e9fc068478ae873303a3b484cf9&t=1217312534[/url]
Information:         Is the TR/Crypt.FKM.Gen Trojan

Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.12, VDF 7.0.5.182

伞兵づ泡泡 发表于 2008-7-29 14:24

回复 9楼 syfwxmh 的帖子

是吗,那我改过来[:08:]

主要是手杀的时候差点上当

[[i] 本帖最后由 伞兵づ泡泡 于 2008-7-29 14:26 编辑 [/i]]

Ray1112 发表于 2008-7-29 14:25

被微点拦下来……放行后系统时间被修改且无法恢复……进程倒没什么问题……

kkgh 发表于 2008-7-29 14:29

[:xi46:] 费尔   Trojan.Cap87291.tzde

wei023cn 发表于 2008-7-29 14:30

[quote]原帖由 [i]伞兵づ泡泡[/i] 于 2008-7-29 14:22 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4279482&ptid=294683][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
这个是叫做数字签名吧……

不过确实是伪装的 [/quote]

数字签名是这个 。你说的那个压根就不是 。 上图

tvuser2007 发表于 2008-7-29 14:35

没有被秒~

[attach]320103[/attach][attach]320104[/attach]
[attach]320105[/attach][attach]320106[/attach]

[attach]320107[/attach][:18:]

[[i] 本帖最后由 tvuser2007 于 2008-7-29 14:37 编辑 [/i]]

伞兵づ泡泡 发表于 2008-7-29 14:36

[quote]原帖由 [i]wei023cn[/i] 于 2008-7-29 14:30 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4279551&ptid=294683][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]


数字签名是这个 。你说的那个压根就不是 。 上图 [/quote]

明白了,多谢,那个准确地说应该叫什么?

EQ2 发表于 2008-7-29 14:38

fakewindowsupdate

woai_jolin 发表于 2008-7-29 14:48

回复 16楼 伞兵づ泡泡 的帖子

顶多叫个注释

纽约的麻雀 发表于 2008-7-29 15:35

C:\Documents and Settings\Administrator\桌面\MSDOS.zip>>MSDOS.EXE        Trojan.Cap87291.tzde        木马        还未处理
费尔

6677 发表于 2008-7-29 15:47

Suspicious program detected               Protection against unknown...   2008-7-29 3:42:33 PM  Blocked               File: C:\DOCUMENTS AND SETTINGS\M6TTL\×ÀÃæ\MSDOS\MSDOS.EXE

[[i] 本帖最后由 6677 于 2008-7-29 16:09 编辑 [/i]]

页: [1] 2

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.