baohe - 2012-3-15 9:25:00
http://bbs.ikaka.com/showtopic-9164918.aspx,这个帖子描述了WIN8下观察此马的初步结果。当时不明白此毒运行时为啥有FlashPlayer插件更新伴行。
调整了一下CA HIPS的监控设置,在CA HIPS监控下重新运行样本,弄清了这个问题。原来这是病毒释放的烟幕(病毒运行过程中安装到%system%\macromed\flash目录下的程序木有问题)。
此毒的这种行为仅见于WIN7 及 WIN8 系统。在XP系统中运行此毒,并无此现象。估计可能是WIN7 及 WIN8 系统限制在WINDOWS目录及其子目录下随便创建目录所致(XP系统无此限制)。
弄死这个ZeroAccess木马的关键一步:
核实 CA HIPS 的防护结果:
用户系统信息:Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61
调整了一下CA HIPS的监控设置,在CA HIPS监控下重新运行样本,弄清了这个问题。原来这是病毒释放的烟幕(病毒运行过程中安装到%system%\macromed\flash目录下的程序木有问题)。
此毒的这种行为仅见于WIN7 及 WIN8 系统。在XP系统中运行此毒,并无此现象。估计可能是WIN7 及 WIN8 系统限制在WINDOWS目录及其子目录下随便创建目录所致(XP系统无此限制)。
弄死这个ZeroAccess木马的关键一步:
核实 CA HIPS 的防护结果:
用户系统信息:Opera/9.80 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.61