注意防范冒充瑞星开机扫描程序的“李鬼” bbs.ikaka.com

baohe - 2008-3-8 11:35:00

这是一个冒充瑞星开机扫描程序bsmain.exe的病毒。

样本来自：http://bbs.kafan.cn/viewthread.php?tid=214836&extra=page%3D1

样本提供者对此毒的描述：“卸载瑞星，映像劫持杀毒软件，覆盖感染可执行文件，而且模仿瑞星文件模仿的出神入化”。

病毒bsmain.exe与正常bsmain.exe的对比（图1）

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件: 155847200838112406.jpg

baohe - 2008-3-8 11:36:00

病毒bsmain.exe的MD5值（图2）

附件: 155847200838112431.jpg

baohe - 2008-3-8 11:36:00

实机运行之。病毒被我自己定义的那两条“应用程序访问规则”完全阻截（图3）
那两条“应用程序访问规则”的具体内容见：http://forum.ikaka.com/topic.asp?board=28&artid=8433144

附件: 155847200838112457.jpg

小眼球 - 2008-3-8 11:54:00

这么强.模拟能到这种程度了啊

天月来了 - 2008-3-8 11:59:00

哪容易遇到这东西哦

猫也真能折腾玩

呵呵！！！！

baohe - 2008-3-8 12:01:00

引用:

【天月来了的贴子】哪容易遇到这东西哦

猫也真能折腾玩

呵呵！！！！
………………

呼呼

等着瞧吧。

这，也许只是个开头。好戏还在后面呢。

shouhou - 2008-3-8 12:03:00

为什么最近的病毒都针对瑞星呢？

newcenturymoon - 2008-3-8 19:13:00

额这个病毒样本是我发到卡饭上去的

baohe - 2008-3-8 21:12:00

引用:

【newcenturymoon的贴子】额这个病毒样本是我发到卡饭上去的
………………

此毒作者太张扬了

附件: 155847200838210007.jpg

newcenturymoon - 2008-3-8 22:48:00

貌似还有个 l什么的用户三个字的

baohe - 2008-3-9 9:44:00

引用:

【newcenturymoon的贴子】貌似还有个 l什么的用户三个字的

………………

lgy

tjcum210210 - 2008-3-9 14:06:00

以后师傅那好玩得东东就多了

ADL - 2008-3-9 23:20:00

认真学习啦！

病毒真好玩！

日不懂啊 - 2008-3-10 13:43:00

这东西，汗~~~~见识了

小企鹅S - 2008-3-10 21:43:00

不是我不明白，是世界变化快~~~~~~~~~~~~~~~~~

zhongzhi - 2008-3-13 16:45:00

这病毒确实很刁钻，很有想象力。

加楠 - 2008-3-13 18:41:00

居然连签名\版本都能弄上去。..

看来以后连签名和版本都不能相信了。

还好机器狗的作者不会修改userinit.exe和explorer.exe的版本和签名。

瑞星卡卡安全论坛