【原创】行为恶劣的蠕虫病毒（兔宝宝）的分析 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】行为恶劣的蠕虫病毒（兔宝宝）的分析

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 3 页

跳转页

【原创】行为恶劣的蠕虫病毒（兔宝宝）的分析

桃子CiCi 飘泊而立狮帖子:547 注册: 2007-01-30 来自:	发表于： 2007-04-09 01:23 \| 短消息资料字号：小中大 11楼不好意思啊，我不是蛮懂我下载了SSM，但是好像只能看到新创建出来的进程 SSM好像只能看到创建的进程吧，难道你说的释放的文件就是进程中对应的文件？然后还有病毒删除了注册表的键值是怎么发现的呢？
桃子CiCi 飘泊而立狮帖子:547 注册: 2007-01-30 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-09 01:27 \| 短消息资料字号：小中大 12楼恩！！！同时借助其他的工具，就可以知道这些进程或这些进程里注入的模块了。注册表的修改也一样可以监控的。还有：这病毒的鸟人爱小兔兔？？？？？？？？？？
天月来了版主帖子:76904 注册: 2007-02-06 来自:

桃子CiCi 飘泊而立狮帖子:547 注册: 2007-01-30 来自:	发表于： 2007-04-09 01:29 \| 短消息资料字号：小中大 13楼哎…… 我不会设置SSM 只能把它当监控器用了我中马的时候，SSM一点提示都没有，只能看到出现了异常的进程呵呵我把它设成自学习模式在
桃子CiCi 飘泊而立狮帖子:547 注册: 2007-01-30 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-09 01:34 \| 短消息资料字号：小中大 14楼看到异常就行了啊。我自己的电脑系统，只用一个任务管理器就行了哦。有问题就上瑞星防火墙监控。估计是中了。然后再来SRENG日志分析。最后才动用这些个宝贝东西干毒毒。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-09 01:37 \| 短消息资料字号：小中大 15楼实际上SSM可以看到所有进程和插入进程的模块的。大多我们正在用的工具都能看的，例如：冰刃。得互相配合。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-04-09 09:41 \| 短消息资料字号：小中大 16楼【回复“newcenturymoon”的帖子】【......另外此病毒会破坏冰刃 sreng 的运行（即便将他们改名，我测试时候就是改成了fdfdsfds.bat,可照样被结束，不知道原理还..) 测试病毒时候 SSM也没有任何反映机器直接卡死.......】程序文件夹中的所有.exe已经被替换为病毒体（文件大小260K；文件名还是原来的文件名，图标已经变为“兔宝宝”或普通的.exe文件图标）
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-09 09:44 \| 只看楼主短消息资料字号：小中大 17楼那为什么不能重启注销或者关机呢
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-09 09:46 \| 只看楼主短消息资料字号：小中大 18楼那为什么不能关机重启或者注销呢
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

年度优秀版主奖

端午辟邪香囊

卡卡名人堂

就爱不长大

论坛9周年纪念

09欢乐圣诞

十周年

年度风云人物

2012我眼中的你们

茶馆劳模

瑞星金牌用户

十一周年勋章

发表于： 2007-04-09 09:48 | 短消息资料

字号：小中大 19楼

引用:

【newcenturymoon的贴子】那为什么不能关机重启或者注销呢
………………

我在“影子系统”中运行rabbit.exe，SSM和Tiny的提问——————一路绿灯放行，没遇到你说的这种现象。

gototop

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2007-04-09 09:51 \| 只看楼主短消息资料字号：小中大 20楼我用的虚拟机不能关机注销或者重启其他测试的人也有碰到这个现象并且其他人用SSM监控有 SSM 不报警的情况
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

2 / 3 页

跳转页

页面顶部

Powered by Discuz!NT