微点交流论坛 - 微点软件使用交流 - 亲测【灰鸽子2010新种过微点、卡巴 NOD32控制端多壳加固--目前没过大蜘蛛】

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点软件使用交流 » 亲测【灰鸽子2010新种过微点、卡巴 NOD32控制端多壳加固--目前没过大蜘蛛】

1/2

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#1 亲测【灰鸽子2010新种过微点、卡巴 NOD32控制端多壳加固--目前没过大蜘蛛】

今天晚上本来想睡觉了，结果被人弄坏了心情，于是想着去微点社区逛逛，结果看到说有个鸽子过了微点，于是就来了个睡前炖鸽子汤，看俺有没有这个口服了，于是根据那位同志提供的连接发现是精睿论坛，去找了下样本，发现这东西还不小啊，居然是个肥鸽子，看来今晚可以吃饱了。

闲话咱就不说了，来点实机的吧，说多了也是空的。

程序图标为360图标

查看属性，发现写的是系统的explorer.exe的属性，真是做足了准备啊，让虚假充满世界，可惜没有爱。

下面就来解剖，烧水，炖鸽子了。

双击运行“免杀灰鸽子.exe”，结果在此时，微点那个不懂事的孩子，居然拿着一把刀，把鸽子给杀了，我的天啦，还没让鸽子舒展筋骨，遨游飞翔呢。

唉，为了让鸽子汤更加的鲜美，我做了一个大胆的举动，选择了放行。

结果发现这个肥鸽子原来是个控制端，杂也就不管3721了，让肥鸽子整个服务端吧，就在偶生成的时候，微点杀毒软件居然报警了。。。这就是传说中的过卡巴、nod32的鸽子，如此可见微点的杀毒也是有自己的独到的检测方式啊。

放行吧，还是来测试微点主动防御吧。

双击运行后，出现了下面唯美的一副画面。

各位看官，拿东西盛鸽子汤喝吧！

有钱的捧个钱场，没钱的捧个人场，咱也不收钱，大家都是点饭，

，就麻烦各位回个贴吧！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-12-16 23:49

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#2

多引擎扫描结果：

文件 _______________.exe 接收于 2009.12.16 15:56:20 (UTC)
当前状态: 正在读取 ... 队列中等待中扫描中完成未发现停止

结果: 6/41 (14.64%)
正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___ 之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本打印结果
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置: ).

您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.
Email:


反病毒引擎版本最后更新扫描结果
a-squared 4.5.0.43 2009.12.16 -
AhnLab-V3 5.0.0.2 2009.12.16 -
AntiVir 7.9.1.108 2009.12.16 TR/Dldr.Small.ny.18
Antiy-AVL 2.0.3.7 2009.12.16 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.16 -
AVG 8.5.0.427 2009.12.16 -
BitDefender 7.2 2009.12.16 -
CAT-QuickHeal 10.00 2009.12.16 -
ClamAV 0.94.1 2009.12.16 -
Comodo 3264 2009.12.16 -
DrWeb 5.0.0.12182 2009.12.16 -
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7178 2009.12.16 Win32/Etap
F-Prot 4.5.1.85 2009.12.15 -
F-Secure 9.0.15370.0 2009.12.16 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2009.12.16 -
GData 19 2009.12.16 -
Ikarus T3.1.1.78.0 2009.12.16 -
Jiangmin 13.0.900 2009.12.16 -
K7AntiVirus 7.10.922 2009.12.16 -
Kaspersky 7.0.0.125 2009.12.16 -
McAfee 5833 2009.12.15 -
McAfee+Artemis 5833 2009.12.15 -
McAfee-GW-Edition 6.8.5 2009.12.16 Trojan.Dropper.Gen
Microsoft 1.5302 2009.12.16 -
NOD32 4693 2009.12.16 -
Norman 6.04.03 2009.12.15 Agent.IZEO
nProtect 2009.1.8.0 2009.12.16 -
Panda 10.0.2.2 2009.12.15 Suspicious file
PCTools 7.0.3.5 2009.12.16 -
Prevx 3.0 2009.12.16 -
Rising 22.26.02.04 2009.12.16 -
Sophos 4.48.0 2009.12.16 -
Sunbelt 3.2.1858.2 2009.12.16 -
Symantec 1.4.4.12 2009.12.16 -
TheHacker 6.5.0.2.094 2009.12.15 -
TrendMicro 9.100.0.1001 2009.12.16 -
VBA32 3.12.12.0 2009.12.16 -
ViRobot 2009.12.16.2092 2009.12.16 -
VirusBuster 5.0.21.0 2009.12.16 -
附加信息
File size: 8828003 bytes
MD5...: 8f0e3d90d8bce43152e0e7129674a9e1
SHA1..: 24a0904a89bbcd62f3eae28249147a5a8bd0b26d
SHA256: 5a8d31ec13e821d169d5ce0e36241cbc41431870f84c543b227946fad169b175
ssdeep: 196608:tL5nFpwixXRp8unzi9aK+6unfftpSfUwzlibsnFUUrlI:tdnbXp8Cipun
3mztC

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d54d16
timedatestamp.....: 0x7bf00d9 (Wed Feb 13 03:28:25 1974)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.textbss 0x1000 0x1d52120 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x1d54000 0x1000 0xd4c 6.35 8a8181a3009c28c2703460c7d445e224
.data 0x1d55000 0x806000 0x805803 7.85 d17ffe16b6231a225b66c43de10b953d
.idata 0x255b000 0x1000 0xa6 4.05 49317fae3d2e44c94667e9b9ecafa294
.tls 0x255c000 0x1000 0x18 2.95 ef839f35da0846a432824e8986d48bf6
.rsrc 0x255d000 0x18000 0x17600 4.41 b6e99ce90bd430fe9e55b356bef1d890

( 2 imports )
> kernel32.dll: Sleep
> USER32.dll: DefWindowProcA

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.8%)
DOS Executable Generic (49.8%)
Targa bitmap (Original TGA Format) (0.1%)
MS Flight Simulator Aircraft Performance Info (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (C) Microsoft Corporation. All rights reserved.
product......: Microsoft(R) Windows(R) Operating System
description..: Windows Explorer
original name: EXPLORER.EXE
internal name: explorer
file version.: 6.00.2900.5512 (xpsp.080413-2105)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

[ Last edited by jaber on 2009-12-17 at 00:01 ]

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-12-16 23:55

镜湖YES
银牌会员

积分 1225
发帖 1199
注册 2009-3-15

#3

现在的病毒作者都很低调。能过微点的病毒式绝不会摆到台面上供人参观的。

要知道那也是他们绞尽脑汁，辛辛苦苦，呕心沥血的杰作。

话说楼主也真有献身精神，大有神农尝百草的风范。

不过还是要提醒楼主，你现在把别人的鸽子炖了吃，小心别人下次把你当肉鸡煮了吃。

※ ※ ※ 本文纯属【镜湖YES】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-17 00:01

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#4

呵呵，就这些程序，也想来吃我，还没那个资格了！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-12-17 00:03

langzi2009
中级用户

积分 311
发帖 299
注册 2009-8-2

#5

哇哈哈微点果然能杀噶~~~~~

※ ※ ※ 本文纯属【langzi2009】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][size=6]与时俱进[/size][/color]

2009-12-17 00:51

langzi2009
中级用户

积分 311
发帖 299
注册 2009-8-2

#6

非常感谢版主的耐心测试佩服了~~~~！

※ ※ ※ 本文纯属【langzi2009】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][size=6]与时俱进[/size][/color]

2009-12-17 00:51

李莫愁
高级用户

积分 646
发帖 644
注册 2009-3-23

#7

膜拜斑竹，膜拜技术贴，顺便蹭碗鸽子汤，嘿嘿

※ ※ ※ 本文纯属【李莫愁】个人意见，与【微点交流论坛】立场无关※ ※ ※

别问我的马甲是谁，别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。

2009-12-17 01:18

理想未来
禁止发言

积分 386
发帖 382
注册 2008-12-10

#8

呵呵，我经常去黑客论坛 QQ群找他们要牛病毒

一句话：挑战宇宙所有牛X病毒，有的发给我，没有莫废话

他们为了逞能，基本都发给我。很多微点都可以查杀，他们都晕了

说可以过卡巴啊，可以过360  NOD32、有一个说过全部

难败东方微点........  哈哈

测试之后统统上报微点官方。  O(∩_∩)O

有时还会用自己编写的HIPS测试一下，效果也很满意。

[ Last edited by 理想未来 on 2009-12-17 at 07:50 ]

※ ※ ※ 本文纯属【理想未来】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-12-17 07:47

hds_ss
银牌会员

积分 1105
发帖 1101
注册 2007-2-26

#9

微点真的不错，也谢谢楼主了！

※ ※ ※ 本文纯属【hds_ss】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统为：XP Professional 版本为 2002 Sercice Pack 2
Intel946GZ+1G+PD820
预升级用户

2009-12-17 09:52

lsj301
银牌会员

积分 1388
发帖 1382
注册 2009-3-16
来自甘肃兰州

#10

哈哈,喝不了鸽子汤,闻点香也可以.

※ ※ ※ 本文纯属【lsj301】个人意见，与【微点交流论坛】立场无关※ ※ ※

我们一直在默默支持微点!

2009-12-17 11:08

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号