瑞星卡卡安全论坛

系统：winxp-sp3

浏览器：ie6  猎豹


操作：升级瑞星到最新版，取消自动放行签名和云文件，运行样本


结果：瑞星防御失败，样本成功添加启动项！！！



 附件: 您所在的用户组无法下载或查看附件



样本 看到了吗

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER

附件: 瑞星日志.rar

附件: 7.Backdoor.WHHFD.rar

特殊的启动方式
Backdoor/WHHFD.exe
介绍：
要让一个程序开机自动运行，最常用的办法是在注册表Run子键下添加一个新的条目，然而病毒偏偏不喜欢走寻常路。文件替换、修改Shell

子键、修改启动文件夹路径、修改AppInit_DLLs，方法层出不穷。只要你有足够的创造力，并对Windows系统有独到的了解，你就能发明下一

种Windows认识，而杀毒软件不认识的自启动方式。
这次的样本通过修改输入法加载项、修改Winsock SPI来达到自启动目的，虽然这种方法已经出现过很久了，但采用此法的病毒还算少数。图

中所示的是病毒添加的异常输入法加载项。

再看看这个样本

特殊的启动方式(2)
Backdoor/systmp.exe
介绍：
从某种角度分类，病毒可以分为活跃型与隐蔽型2种。活跃型病毒往往释放很多文件，产生很多进程，较多的消耗系统资源，添加多个自启动


项且顽固驻留。隐蔽型做到最小化资源占用，力求不对系统造成任何影响，往往只拥有一个启动方式。隐蔽型的病毒比起活跃型更易存活，


因为用户难以发现它们。流氓软件、广告程序多属活跃型，而木马后门多属隐蔽型。
这次的样本就是一个隐蔽的后门。它通过修改AppInit_DLLs实现加载，动作很简单。但智能HIPS却常常被这种简单动作的样本蒙蔽。感染病


毒后，可以看出新启动的进程都有一个异常模块sys.tmp。

附件: 8.Backdoor.systmp.rar

此问题已收集。感谢您对瑞星产品的支持！