ms.exe木马自定义行为防御及其效果 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 ms.exe木马自定义行为防御及其效果

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] ms.exe木马自定义行为防御及其效果

本主题由技术团队 newcenturymoon 于 2009-2-5 10:59:02 执行关闭主题/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-02-04 19:14 \| 只看楼主短消息资料字号：小中大 1楼 ms.exe木马自定义行为防御及其效果 http://bbs.ikaka.com/showtopic-8594052-1.aspx 这个帖子提到的那个木马ms.exe的自定义行为防御规则很简单： 0.jpg (64.96 K) 2009-2-4 19:14:14 效果： 1.jpg (36.17 K) 2009-2-4 19:14:14 效果： 2.jpg (33.87 K) 2009-2-4 19:14:14 用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-02-04 19:19 \| 只看楼主短消息资料字号：小中大 2楼回复：ms.exe木马自定义行为防御及其效果这个木马有个特点：只植入系统一次。如果植入失败，无论你再运行样本多少次，木马不再植入系统。貌似很“君子”（玩儿不过你，咱就不跟你玩儿了！）
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2009-02-04 19:26 \| 短消息资料字号：小中大 3楼回复：ms.exe木马自定义行为防御及其效果谢谢猫叔－－对个人来讲，统计，仪器，高速的计算机可以让人们得到大量充裕的时间。这个社会中，更不可缺的是具备现代化的管理经验。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-02-04 20:03 \| 短消息资料字号：小中大 4楼回复：ms.exe木马自定义行为防御及其效果不知道样本会不会更新
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 20:05 \| 短消息资料字号：小中大 5楼回复: ms.exe木马自定义行为防御及其效果释放DLL就报警这规则太粗了吧我发那帖是想要在细一点的规则例如根据他会修改的那个注册表服务项(不过经过本人长时间努力似乎不太可能,因为除了释放DLL其他的动作都是用services完成的) 看来猫叔也只能做到这个程度不过还是感谢猫叔这么卖力 (毕竟连moon都搞不出来规则,它已经承认编辑器漏了这方面了)
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-04 20:10 \| 短消息资料字号：小中大 6楼回复: ms.exe木马自定义行为防御及其效果引用: 原帖由 baohe 于 2009-2-4 19:19:00 发表这个木马有个特点：只植入系统一次。如果植入失败，无论你再运行样本多少次，木马不再植入系统。貌似很“君子”（玩儿不过你，咱就不跟你玩儿了！）貌似应该是那个ini的配制文件在那里如果服务第一次没加载成功他就不运行了把那个ini删了再运行它又来了本人为了测试此病毒的没个动作运行了N次所以比较了解了
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-04 20:43 \| 短消息资料字号：小中大 7楼回复：ms.exe木马自定义行为防御及其效果这个就是普通的PcClient病毒变种很多天天都有我没说过我搞不出规则～～
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-05 00:08 \| 短消息资料字号：小中大 8楼回复: ms.exe木马自定义行为防御及其效果释放DLL就报警太粗了，很多程序后台升级都会报的。我有一个巧妙的办法，绝对不会有任何误报。这类木马群病毒不是在每个程序目录都创建USP10.DLL吗？就利用这点，不管它创建USP10还是其他什么DLL。你可以在非系统盘如D盘创建一个目录命名为ABC或者其他任意名字，在里面复制一个程序文件，任意程序如记事本。用木马行为编辑器，编辑规则，文件规则，任意操作，目录名字符串是D:\abc.主文件类型数值等于2就可以了。这个病毒会在所有的程序目录下创建DLL文件，就必然也会在D:\abc目录创建DLL文件，从而触发规则报警。而这个目录是你自编的，不会有任何程序在这个目录操作文件，所以不会有任何误报，但是却可以报木马群和蠕虫病毒。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-02-05 09:04 \| 短消息资料字号：小中大 9楼回复：ms.exe木马自定义行为防御及其效果楼上的错了这个说的不是 usp10.dll 是那个Backdoor.Win32.PCClient
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-05 09:36 \| 短消息资料字号：小中大 10楼回复: ms.exe木马自定义行为防御及其效果引用: 原帖由 newcenturymoon 于 2009-2-5 9:04:00 发表楼上的错了这个说的不是 usp10.dll 是那个Backdoor.Win32.PCClient moon 编个漂亮的规则搞死这病毒(不要又是释放DLL就报毒的那种啊)
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT