瑞星卡卡安全论坛技术交流区可疑文件交流 新文件夹病毒,急加库!!

12   1  /  2  页   跳转

新文件夹病毒,急加库!!

收藏
本主题由 大版主 networkedition 于 2011-3-28 9:22:07 执行 关闭主题/取消 操作
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-05-24 09:31 | 只看楼主 短消息 资料
字号: 1楼

新文件夹病毒,急加库!!



又一新玩意

还第一次见的呢

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件附件:

您所在的用户组无法下载或查看附件

百年以后,你的墓碑旁 刻着的名字不是我
分享到:
gototop
 
瑞星工程师19
头像
在线技术支持工程师
  • 帖子:3977
  • 注册: 2008-09-08
  • 来自:
发表于: 2009-05-24 09:44 | 短消息 资料
字号: 2楼

回复:新文件夹病毒,急加库!!

您提供的样本已经收集,感谢您的支持!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-24 10:46 | 短消息 资料
字号: 3楼

回复:新文件夹病毒,急加库!!

用CA HIPS,两条规则,将其搞掂!

设置好CA HIPS的规则后运行此毒:

 附件: 您所在的用户组无法下载或查看附件

点击报错对话框中的确定:

 附件: 您所在的用户组无法下载或查看附件
最后编辑baohe 最后编辑于 2009-05-24 10:47:50
gototop
 
随缘92WJC
头像
横据古稀狮
  • 帖子:12667
  • 注册: 2009-01-13
  • 来自:
论坛8周年活动礼物祖国六十华诞论坛9周年纪念09欢乐圣诞10温馨圣诞十周年年度风云人物国庆61周年十一周年勋章
发表于: 2009-05-24 10:53 | 短消息 资料
字号: 4楼

回复 3F baohe 的帖子

CA HIPS?
英文版?我只玩中文版?
毛豆直接检测病毒了,也不用设置规则,这个就是方便,只是重要文件.EXE没有检测出来哦,不知道放行后是什么效果
猫鼠关了HIPS再运行下?我知道你们不怕毒的~~~~
好奇
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-24 11:00 | 短消息 资料
字号: 5楼

回复: 新文件夹病毒,急加库!!



引用:
原帖由 随缘92WJC 于 2009-5-24 10:53:00 发表
CA HIPS?
英文版?我只玩中文版?
毛豆直接检测病毒了,也不用设置规则,这个就是方便,只是重要文件.EXE没有检测出来哦,不知道放行后是什么效果
猫鼠关了HIPS再运行下?我知道你们不怕毒的~~~~
好奇


现在是在WIN7环境。等到下午,我在本本上搞。本本是XP系统。但本本现不在手头。
gototop
 
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-05-24 11:01 | 短消息 资料
字号: 6楼

回复:新文件夹病毒,急加库!!

Win 7下的CA HIPS
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-24 11:05 | 短消息 资料
字号: 7楼

回复: 新文件夹病毒,急加库!!



引用:
原帖由 smallyou93 于 2009-5-24 11:01:00 发表
Win 7下的CA HIPS


用的就是你提供的那个VISTA版CA HIPS。
安装时,稍微费点儿劲。但还是能安装、运行的。目前,在WIN7下只观察到这个版本的CA HIPS有一些小毛病(不影响实际防护效果)。
gototop
 
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-05-24 11:09 | 短消息 资料
字号: 8楼

回复: 新文件夹病毒,急加库!!



引用:
原帖由 baohe 于 2009-5-24 11:05:00 发表


引用:
原帖由 smallyou93 于 2009-5-24 11:01:00 发表
Win 7下的CA HIPS


用的就是你提供的那个VISTA版CA HIPS。
安装时,稍微费点儿劲。但还是能安装、运行的。目前,在WIN7下只观察到这个版本的CA HIPS有一些小毛病(不影响实际防护效果)。


小毛病..?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-24 13:22 | 短消息 资料
字号: 9楼

回复 1F 天月来了 的帖子

Important.FILES.EXE运行后释放文件:

%windows%\system\smss.exe。文件大小:52k;MD5值:bf12c75b5293dbef75382f655ba50d6f。这个smss.exe与原样本完全相同。

病毒进程自动结束。

那个smss.exe可直接删除。

 附件: 您所在的用户组无法下载或查看附件

这是它添加的注册表服务项(图)。这个服务项的显示及描述内容很搞笑:
NTService  For the security of Windows NT servies.(译文:保障WINDOWS NT安全的服务。) 

An important System service, If it was terminated, Windows would be Collapsed.(译文:此乃重要系统服务。若结束此服务,windows就会崩溃。)
连蒙带骗啊



 附件: 您所在的用户组无法下载或查看附件

访问网络的动作都没有(看来只是个普通的后门):



 附件: 您所在的用户组无法下载或查看附件


附上这个smss.exe(无密码):


 附件: 您所在的用户组无法下载或查看附件
最后编辑baohe 最后编辑于 2009-05-24 13:38:11
gototop
 
随缘92WJC
头像
横据古稀狮
  • 帖子:12667
  • 注册: 2009-01-13
  • 来自:
论坛8周年活动礼物祖国六十华诞论坛9周年纪念09欢乐圣诞10温馨圣诞十周年年度风云人物国庆61周年十一周年勋章
发表于: 2009-05-24 18:59 | 短消息 资料
字号: 10楼

回复: 新文件夹病毒,急加库!!


 附件: 您所在的用户组无法下载或查看附件
猫叔~~~~~那个SMSS.EXE
汗死,刚解压就报了,是不是设置的太灵敏了我
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT