這個是樣本區找來的樣本,我一開始使用TF
測試
http://www.avpclub.ddns.info/dis ... o=lastpost#lastpost
運行後TF沒有反映,沒幾秒的時間後系統
CPU使用率標高
雖然還是出現了兩次警告,但系統文件還是遭到破壞
KIS 8.0的攔截情形:
運行之後試圖執行"自我安全教育-必看.exe"
"自我安全教育-必看.exe"試圖運行6.exe
再度創建了2.bat並試圖執行它
發現explorer.exe試圖修改受保護的註冊表
執行console ime
KIS 8.0自動攔截下來惡意行為
在windows下生成兩個檔案
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.dll Denied: KLSystemData/KLSystemFiles/SystemDll
TF的攔截情形
解壓縮還原之後要運行6.EXE
真正攔截到的只有這個B41346EFA848.DLL而已,少了很多KIS 8.0攔截到的行為
樣本雖然被隔離,TF並要求重新開機
進入關機階段時,螢幕忽然飄過了檔案遺失的視窗
重開機之後果然出了問題,系統再也無法進入桌面!
由於TF的系統開不了機了,我也無法查看LOG
所以實際上TF是漏了什麼?我還需要一點時間分析才能知道答案
