木马行为不报的近期非常流行的DLL注入病毒样本 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区木马行为不报的近期非常流行的DLL注入病毒样本

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

木马行为不报的近期非常流行的DLL注入病毒样本

过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	发表于： 2009-09-14 14:59 \| 只看楼主短消息资料字号：小中大 1楼木马行为不报的近期非常流行的DLL注入病毒样本瑞星版本:RIS2010 22.00.00.91 系统:WINDOWS XP SP2 操作步骤: 关闭瑞星文件监控(因为测试的是已经收录的样本). 操作现象: 运行大部分的DLL注入样本并没有被拦截.(只是有一个释放EXE的被瑞星提示阻止运行) 当运行了病毒主体:updater.exe和~Frm.exe之后,瑞星右下角的黄伞消失.重启之后瑞星绿伞没有再出来. 建议:像阳光\网警他们所说的,没有进程\没有隐藏进程\通过DLL注入这些手段已经在几年以前就出现,并且现在差不多流行病毒都是采用这个方式来隐藏运行\破坏.. 我觉得这种情况下,有必要监控或者是加强DLL注入的行为分析及阻止.同时,在测试的时候只关闭了文件监控,好像对木马行为判断也有影响?所以在关闭文件监控的情况下,瑞星被无声的破坏?希望工程师也验证及解决一下. 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322) 附件: 文件名:木马行为不报的.zip 下载次数:18981 文件类型:application/x-zip-compressed 文件大小: 上传时间:2009-9-14 14:58:31 描述:zip 传说在很远的古代，一个庙里，有一个大神与一个小鬼住在里面。天下了大雨，庙前的河里长了水。来了一个人，过不了河，就把庙里的大神搬了出去，丢在河里，然后他踏在大神的身上，飞跳了过河。等会又来了
过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	分享到：

WOODYYY 在线工程师帖子:178 注册: 2009-06-23 来自:	发表于： 2009-09-14 15:06 \| 短消息资料字号：小中大 2楼回复：木马行为不报的近期非常流行的DLL注入病毒样本此问题已经收集，我们会集中反馈相关部门。感谢您的支持与关注。
WOODYYY 在线工程师帖子:178 注册: 2009-06-23 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-09-14 15:26 \| 短消息资料字号：小中大 3楼回复：木马行为不报的近期非常流行的DLL注入病毒样本文件监控是文件监控文件监控只是判断那个文件是否是病毒之所以文件监控报毒是因为那个文件正好在病毒库中而不是他有注入行为木马行为防御目前对于3环上的注入行为已经进行了监控应该都能报出来
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-09-14 15:34 \| 短消息资料字号：小中大 4楼回复: 木马行为不报的近期非常流行的DLL注入病毒样本上面的病毒都是通过SetWindowsHookEx挂全局钩子注入系统进程的首先确认瑞星的这个钩子是存在的 Snap2.jpg (371.57 K) 2009-9-14 15:33:59 NtUserSetWindowsHookEx 然后运行样本就会出现这个提示 Snap1.jpg (92.37 K) 2009-9-14 15:33:59 点阻止病毒就无法注入系统进程那个钩子可能由于安装了其他软件与瑞星的钩子冲突导致瑞星相关功能失效
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	发表于： 2009-09-14 15:37 \| 只看楼主短消息资料字号：小中大 5楼回复: 木马行为不报的近期非常流行的DLL注入病毒样本不过,我的瑞星是重新完整卸载后安装过的哦. 原来SSM的驱动也删除了.现在的系统没有其它的安全类软件哦(有一个金山清理专家不过没有随机启动). 传说在很远的古代，一个庙里，有一个大神与一个小鬼住在里面。天下了大雨，庙前的河里长了水。来了一个人，过不了河，就把庙里的大神搬了出去，丢在河里，然后他踏在大神的身上，飞跳了过河。等会又来了
过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-09-14 17:02 \| 短消息资料字号：小中大 6楼回复：木马行为不报的近期非常流行的DLL注入病毒样本木马行为防御报。点击“结束程序”，病毒死掉。 0.jpg (98.74 K) 2009-9-14 17:02:13
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT