• :
  • 新网购木马-“网银大盗”分析报告-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    新网购木马-“网银大盗”分析报告

      [复制链接]
    技术贴 顶一下
    使用道具 举报 回复 支持 反对
    支持金山毒霸。
    使用道具 举报 回复 支持 反对
    只要是美女的分析报告,都是要盯的。
    使用道具 举报 回复 支持 反对
    很详细,美女病毒分析师和童鞋们花了不少时间分析,要顶贴支持一下。
    使用道具 举报 回复 支持 反对
    ........
    使用道具 举报 回复 支持 反对
    hapood 发表于 2012-2-14 22:03
    不提供病毒文件的下载么?我想运行体验一下

    样本地址http://bbs.duba.net/forum.php?mo ... TY3Mjg5fDIyNjQzMjQ3

    点评

    谢谢,已下载  详情 回复 发表于 2012-2-17 11:36
    使用道具 举报 回复 支持 反对
    美女从事安全行业,值得敬佩哇,
    使用道具 举报 回复 支持 反对
    顶,学习了
    使用道具 举报 回复 支持 反对
    同顶
    使用道具 举报 回复 支持 反对
    膜拜!
    另外,能否加上毒霸如何完美查杀呢?
    使用道具 举报 回复 支持 反对
    这个网购木马最近很嚣张,经常网购的用户一定要小心,慎重接受对方传来的文件,使用毒霸来防护最保险;)
    使用道具 举报 回复 支持 反对
    技术贴,顶一下!
    不过,没有好压的情况下 只看见调用notepad.exe 联网...

    点评

    什么意思?和电脑中有没有好压没关系吧?  详情 回复 发表于 2012-2-15 10:10
    使用道具 举报 回复 支持 反对
    liulangzhe 发表于 2012-2-15 10:07
    技术贴,顶一下!
    不过,没有好压的情况下 只看见调用notepad.exe 联网...

    什么意思?和电脑中有没有好压没关系吧?

    点评

    没有好压软件的缘故?! 样本调用notepad.exe(修改内存,创建线程)来联网 ,我还以为此样本是个txt漏洞的病毒呢?!(是误判啊) 在卡饭看见 *.dll为病毒时,我好纳闷儿...只看见%programfiles%\目录创建文件  详情 回复 发表于 2012-2-15 10:22
    需要安装好压才能触发  详情 回复 发表于 2012-2-15 10:16
    使用道具 举报 回复 支持 反对
    byxxdrls 发表于 2012-2-15 10:10
    什么意思?和电脑中有没有好压没关系吧?

    需要安装好压才能触发

    点评

    好压的DLL是病毒释放出来的。装不装好压都会中招。  发表于 2012-2-15 10:57
    使用道具 举报 回复 支持 反对
    byxxdrls 发表于 2012-2-15 10:10
    什么意思?和电脑中有没有好压没关系吧?

    没有好压软件的缘故?! 样本调用notepad.exe(修改内存,创建线程)来联网 ,我还以为此样本是个txt漏洞的病毒呢?!(是误判啊)

    在卡饭看见 *.dll为病毒时,我好纳闷儿...只看见%programfiles%\目录创建文件夹及文件,创建启动项,调用记事本联网(分析报告中都已经反映出来啦)...就是没有看见创建 *.dll  文件

    点评

    你卡饭帖子中的。 我在VPC上运行,样本没什么动作  详情 回复 发表于 2012-2-15 12:00
    使用道具 举报 回复 支持 反对
    好强的分析啊, 膜拜膜拜!
    使用道具 举报 回复 支持 反对
    详细的报告,赞一下。这个应该贴到卡饭上,貌似样本区这个样本不少人关注啊,多好的报告啊!
    使用道具 举报 回复 支持 反对
    liulangzhe 发表于 2012-2-15 10:22
    没有好压软件的缘故?! 样本调用notepad.exe(修改内存,创建线程)来联网 ,我还以为此样本是个txt漏洞 ...
    2012-2-14 07:35:16    创建文件    允许
    进程: k:\download\实物图\实物图.exe
    目标: C:\Program Files\StormDate\haozip.dll
    规则: [文件组]所有执行文件 -> [文件]*; *.dll


    你卡饭帖子中的。


    我在VPC上运行,样本没什么动作

    点评

    呵呵!找到原因啦!原来是GKR阻止创建.dll;.exe文件造成的...  详情 回复 发表于 2012-2-15 14:21
    刚才卡饭去看了我的回复...卡饭抽风?!图被挂! 现在回想,只有联网的印象,没有其他的特别的...  详情 回复 发表于 2012-2-15 13:17
    使用道具 举报 回复 支持 反对
    赞一个
    使用道具 举报 回复 支持 反对
    强大·
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则