123   2  /  3  页   跳转

防不胜防

收藏
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-05-17 15:18 | 短消息 资料
字号: 11楼

回复:防不胜防

我是晕4遇到同样的问题
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:19 | 只看楼主 短消息 资料
字号: 12楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:18:00 发表
我是晕4遇到同样的问题

我说的那些古怪文件释放了没?
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-05-17 15:20 | 短消息 资料
字号: 13楼

回复:防不胜防

没有哟,估计是检测虚拟机环境的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:28 | 只看楼主 短消息 资料
字号: 14楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:20:00 发表
没有哟,估计是检测虚拟机环境的。


我的实机观察背景比较特殊。

1、观察此毒前有CSS做的整个硬盘备份(要动这些备份需访问隐藏分区)。

2、观察后,删除当前用户目录C:\Documents and Settings\baohelin\下的病毒文件svchost.exe(隐藏的)。然后用CSS的Rescue and Recovery从硬盘备份中调出整个Documents and Settings目录内容,覆盖运行病毒后的整个Documents and Settings目录。

3、设置Tiny规则,再次观察。成功阻止那些文件释放。
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-05-17 15:31 | 短消息 资料
字号: 15楼

回复:防不胜防

刚才试了一下,实机也是如此。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:34 | 只看楼主 短消息 资料
字号: 16楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:31:00 发表
刚才试了一下,实机也是如此。


汗!

我再找那个原样本发上来。(不过,除了文件名,二者是一样的。我核对过MD5啊)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:35 | 只看楼主 短消息 资料
字号: 17楼

回复:防不胜防

这是原样本

无密码


 附件: 您所在的用户组无法下载或查看附件
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-05-17 15:39 | 短消息 资料
字号: 18楼

回复:防不胜防

一样。不知检测什么才运行的。
gototop
 
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-05-17 15:43 | 短消息 资料
字号: 19楼

回复:防不胜防

汗,还是没办法运行..
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:55 | 只看楼主 短消息 资料
字号: 20楼

回复: 防不胜防



引用:
原帖由 smallyou93 于 2009-5-17 15:43:00 发表
汗,还是没办法运行..


去掉Tiny针对此毒的规则。

重演一遍。

1、释放文件。


 附件: 您所在的用户组无法下载或查看附件
2、活动的病毒程序位置:

 附件: 您所在的用户组无法下载或查看附件

3、病毒进程:

 附件: 您所在的用户组无法下载或查看附件

4、网络攻击:


 附件: 您所在的用户组无法下载或查看附件



PS:也许是我的系统除Tiny之外,再无其它安全软件干扰。
最后编辑baohe 最后编辑于 2009-05-17 16:03:57
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT