這個是樣本是從AVPClub樣本區找來的樣本
我一開始使用TF測試,運行後TF沒有反映
過沒幾秒的時間系統就出現CPU使用率標高的問題
雖然還是出現了兩次警告,但系統文件還是遭到破壞...
KIS 8.0的攔截情形:
運行之後試圖執行"自我安全教育-必看.exe"
"自我安全教育-必看.exe"試圖運行6.exe
再度創建了2.bat並試圖執行它
發現explorer.exe試圖修改受保護的註冊表
執行console ime
KIS 8.0自動攔截下來惡意行為
在windows下生成兩個檔案
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.dll Denied: KLSystemData/KLSystemFiles/SystemDll
TF的攔截情形:
解壓縮還原之後要運行6.EXE
真正攔截到的只有這個B41346EFA848.DLL而已,少了很多KIS 8.0攔截到的行為
樣本雖然被隔離,TF並要求重新開機
進入關機階段時,螢幕忽然飄過了檔案遺失的視窗
重開機之後果然出了問題,系統再也無法進入桌面!
由於TF的系統開不了機了,我也無法查看LOG
所以實際上TF是漏了什麼?我還需要一點時間分析才能知道答案
辛苦您了@@為了測試犧牲,我今天才意外逛到這個blog,看來有許多東西好逛^^
回覆刪除