瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 紧急求助/各盘符根目录生成autorun.ini和8位数.exe文件,破坏各杀毒程序

123   3  /  3  页   跳转

紧急求助/各盘符根目录生成autorun.ini和8位数.exe文件,破坏各杀毒程序

收藏
ad209
头像
初生襁褓狮
  • 帖子:31
  • 注册: 2006-08-04
  • 来自:
发表于: 2007-05-24 08:26 | 只看楼主 短消息 资料
字号: 21楼

再次感谢。由于没装sreng,没办法作出日志,但是估计改名可运行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 09:54 | 短消息 资料
字号: 22楼

引用:
【ad209的贴子】再次求救:进入安全模式后用冰剑也无法清除病毒。删除了:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\8位随机字符.dll后,仍然无法清除各盘目录下的.ini和.exe文件
………………

昨天同时接到你和“雅朵”的样本。观察时似乎将两个样本搞混淆了。因此回复内容“张冠李戴”了。抱歉哈!
下面是关于你那个样本的回复:
http://forum.ikaka.com/topic.asp?board=28&artid=8314053
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-24 09:58 | 短消息 资料
字号: 23楼

引用:
【baohe的贴子】
昨天同时接到你和“雅朵”的样本。观察时似乎将两个样本搞混淆了。因此回复内容“张冠李戴”了。抱歉哈!
下面是关于你那个样本的回复:
http://forum.ikaka.com/topic.asp?board=28&artid=8314053
………………

http://forum.ikaka.com/topic.asp?board=28&artid=8310293
猫叔 这个就是我先前写过的那个病毒咯(一个坏事做绝的病毒)
跟你当初分析的那个不一样的
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-24 10:31 | 短消息 资料
字号: 24楼

楼主 可以先参考http://forum.ikaka.com/topic.asp?board=28&artid=8310293这个里面写的 应该是我说的那个病毒
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 10:45 | 短消息 资料
字号: 25楼

引用:
【newcenturymoon的贴子】
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
猫叔 这个就是我先前写过的那个病毒咯(一个坏事做绝的病毒)
跟你当初分析的那个不一样的
………………

其实这类病毒也不是很难对付。其中一个防护要点是死守住那些关键注册表项(无论用什么工具实现)
关于IFEO劫持的防护,老掉牙的Tiny即可实现(图)

附件附件:

下载次数:94
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 10:45:58
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 10:47 | 短消息 资料
字号: 26楼

这类注册表项还有下图所示的那些。一一设置好即可。

如果用Tiny,还不能对付这类病毒,大多是忽略了这些注册表内容的防护设置(Tiny的默认设置需要作些改动才行)。

附件附件:

下载次数:101
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 10:47:25
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-24 10:49 | 短消息 资料
字号: 27楼

tiny 总是不会用的说
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-24 11:05 | 短消息 资料
字号: 28楼

【回复“newcenturymoon”的帖子】

下图就是运行楼主的样本后,Tiny的防护效能监测结果(一个IFEO也没写成)
注:这个病毒运行后,病毒的dll控制explorer,由explorer.exe完成IFEO劫持项的创建。

这个病毒还有一个特点:
强制删除病毒文件后,如果不结束explorer进程并重新运行,OPERA浏览器运行不了。

附件附件:

下载次数:104
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-24 11:05:37
描述:
预览信息:EXIF信息
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2007-05-24 11:19 | 短消息 资料
字号: 29楼

引用:
【newcenturymoon的贴子】tiny 总是不会用的说
………………




咋就没人搞个汉化出来....
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-24 11:47 | 短消息 资料
字号: 30楼

Tiny有个部分汉化版,我用的就是。不过设置部分还是E文
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT