baohe - 2007-1-4 11:24:00
今天拿到了mopery提到的那个“仿威金”样本(http://forum.ikaka.com/topic.asp?board=28&artid=8243649)。
。
瑞星今天早上的病毒库依然查不出此毒。
鉴于此毒主体文件名已知,可以利用WINDOWS本身的‘IFEO重定向’技术判其“死缓”(见下图)。
附件:
155847200714111546.jpg
baohe - 2007-1-4 11:26:00
这里之所以说是“死缓”,是指:这样处理后,病毒可以进入系统。然而,一旦它(包括各分区根目录下的go.exe)企图运行,便被定向到RavMon.exe(瑞星监控,见下图),病毒程序本身不会运行。等到瑞星将其加入病毒库后,此毒即可被杀死。
当然,用户也可自己动手将病毒文件及其启动项删除。
附件:
155847200714111736.jpg
baohe - 2007-1-4 11:27:00
已经实机测试过熊猫烧香的两个变种以及这个“仿威金”(见下图),预防效果满意。对于其它病毒,只要你知道其主体程序文件名(.exe或.dll类),且病毒主体程序不与系统或应用程序同名,也可仿此处理。
附件:
155847200714111812.jpg
baohe - 2007-1-4 11:27:00
既然我们可以这样利用IFEO,病毒作者自然也会想到相应的反制措施————上来先搜索用户建立的相关键值,找到后删除之。
因此,用户要采取适当措施,保护自己的IFEO(见下图)。
附件:
155847200714111855.jpg
拉风的高手 - 2007-1-4 11:28:00
学习~
鸟儿天上飞 - 2007-1-4 11:31:00
呵呵 大叔又来这招 每个病毒知道主体文件名都在注册表那个键值下添加吗?
Tiny这个偶有8会用!!! 看不懂文字呀
我的SSM还是那样...=.= 过期咯
baohe - 2007-1-4 11:35:00
| 引用: |
【鸟儿天上飞的贴子】呵呵 大叔又来这招 每个病毒知道主体文件名都在注册表那个键值下添加吗?
……………… |
是的。定向到哪个程序,也随你便。
拉风的高手 - 2007-1-4 12:03:00
学习了,又对tiny有了新的发现了~
鸟儿天上飞 - 2007-1-4 12:11:00
你们都用tiny 我的运行程序都不出 提示框 让我卸了
安全防卫 - 2007-1-4 12:58:00
| 引用: |
【baohe的贴子】
是的。定向到哪个程序,也随你便。
……………… |
猫叔怎么我下的WinHex16进制编辑工具,打不开不能用,是为什么呀?
NSEaman - 2007-1-4 14:14:00
24
NSEaman - 2007-1-4 14:15:00
瑞星新版本已经可以查杀,不知道你的是否是去年的版本
baohe - 2007-1-4 14:28:00
| 引用: |
【NSEaman的贴子】瑞星新版本已经可以查杀,不知道你的是否是去年的版本
……………… |
附件:
155847200714141926.jpg
baohe - 2007-1-4 14:29:00
| 引用: |
【NSEaman的贴子】瑞星新版本已经可以查杀,不知道你的是否是去年的版本
……………… |
能不能杀——自己看。
附件:
155847200714141958.jpg
xhh520 - 2007-1-4 15:03:00
| 引用: |
【NSEaman的贴子】瑞星新版本已经可以查杀,不知道你的是否是去年的版本
……………… |
你纯粹是放屁的 估计是垃几枪手 不可以查杀 我要你头 你敢不敢打赌? 或者叫声爷-爷
我当然是说瑞星杀不了 卡把死鸡可以杀!
不爱吃鱼的猫 - 2007-1-4 15:22:00
楼上的不用这么激动吧??
xiaoyueIQ - 2007-1-4 15:47:00
18楼的哥哥还真是激动啊!!!!
猫叔肯定也被气坏了啊...
xhh520 - 2007-1-4 15:49:00
不敢就算了 把帖子看清楚了在说 ! 呵呵 我本也是说老实话的
看见睁眼瞎的 来了气而已!
baohe - 2007-1-4 15:50:00
| 引用: |
【xiaoyueIQ的贴子】18楼的哥哥还真是激动啊!!!!
猫叔肯定也被气坏了啊...
……………… |
他说的是我楼上的那位。
我说的也是————瑞星目前不能杀这个毒(看图)。
baohe - 2007-1-4 16:04:00
| 引用: |
【水树雨下的贴子】这种东西稍微一变种就查不到了
……………… |
这本来就是个“亡羊补牢”的法子。
尽管是“亡羊补牢”,但管用。
这个办法并非万能。限制条件————主帖中(2楼)已经讲明了。
終生學習 - 2007-1-4 16:08:00
版主 我的刚才3:25分也中了,不过跟你的不一样。。。刚才已经用金山2007,诺吨10.0 NOD32 MCAFEE8.0I 还有瑞星都检查了(瑞星是1月2号的病毒库,因为过期了,所以就不能升级,其它的杀软都是早上升级的),,均没发现。
附件:
350622200714155927.jpg
baohe - 2007-1-4 16:11:00
| 引用: |
【終生學習的贴子】版主 我的刚才3:25分也中了,不过跟你的不一样。。。
……………… |
不知你这张图要说啥?
我给的那张图————注册表内容是用户自己添加的;而不是病毒添加的。病毒不会自己找死。
© 2000 - 2026 Rising Corp. Ltd.
