过客2007 - 2012-1-8 20:50:00
系统:XP SP2
杀毒软件版本:23.00.53.33
IE8.0
问题描述:
一个朋友他的IE8.0被锁定主页,使用顽固IE也无法修复,所以判断为有驱动守护.
经过检查发现,drivers目录有一可疑的SYS文件,本来想直接发回来的,发现QQ提示文件被占用(由此判断为应该是ROOTKIT病毒).所以,使用了文件提取工具:ARPick将该可疑驱动提取过来了:瑞星2012报:ROOTKIT。WIN32。FEDNU。V 。
本来想到瑞星2012可以查杀了,所以将朋友的其它杀毒软件给卸载了,安装上了瑞星2012。
:kaka6: 瑞星2012居然查杀也查不到:kaka7: 。
建议:rootkit病毒算是“老病毒技术”了,但是仍然很多病毒(虽然目前暂时没发现有恶性病毒群发使用这种驱动),但是,主页修改病毒很多都利用该技术:kaka6:
图是取消掉病毒保护勾子之后监控提示的查杀。
希望瑞星能重视一下该类“隐藏”
病毒查杀的问题。
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 685; .NET CLR 2.0.50727)
附件: 样本.rar
杀毒软件版本:23.00.53.33
IE8.0
问题描述:
一个朋友他的IE8.0被锁定主页,使用顽固IE也无法修复,所以判断为有驱动守护.
经过检查发现,drivers目录有一可疑的SYS文件,本来想直接发回来的,发现QQ提示文件被占用(由此判断为应该是ROOTKIT病毒).所以,使用了文件提取工具:ARPick将该可疑驱动提取过来了:瑞星2012报:ROOTKIT。WIN32。FEDNU。V 。
本来想到瑞星2012可以查杀了,所以将朋友的其它杀毒软件给卸载了,安装上了瑞星2012。
:kaka6: 瑞星2012居然查杀也查不到:kaka7: 。
建议:rootkit病毒算是“老病毒技术”了,但是仍然很多病毒(虽然目前暂时没发现有恶性病毒群发使用这种驱动),但是,主页修改病毒很多都利用该技术:kaka6:
图是取消掉病毒保护勾子之后监控提示的查杀。
希望瑞星能重视一下该类“隐藏”
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 685; .NET CLR 2.0.50727)
附件: 样本.rar