瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 建议瑞星工程师认真研究一下这个TDSS病毒

1   1  /  1  页   跳转

[原创] 建议瑞星工程师认真研究一下这个TDSS病毒

建议瑞星工程师认真研究一下这个TDSS病毒

关于此毒的初步观察已经在下面这个帖子中说过了:

http://bbs.ikaka.com/showtopic-8800040.aspx

RIS2011虽然已经报这个样本setup17.exe为病毒,但关闭瑞星文件监控运行此毒,在中毒环境(WIN7)中RIS2011则完全查不到它。

这个毒的隐蔽性相当不错,在国外已很流行,且新变种还在不断出现。国外BBS上的求助者甚多,尤其以中TDL3/TDL4 者最为苦恼(很难收拾)。

看了他们的讨论,多数人认为下图的这个改变对杀软商构成挑战:






杀净病毒后,这个被病毒“偷走”的\Device\Harddisk0\DR0恢复正常。


中此毒后,用WIN7的资源监视器查看spoolsv.exe进程关联的句柄,也能发现中毒后的蛛丝马迹:


杀净病毒后spoolsv.exe进程关联的句柄恢复正常:


手工杀净病毒后(系统已经手工完全清理干净),此时此病毒驱动在WIN7下已经可见且可手动删除。但用RIS2011扫特意保留下来的这两个病毒驱动,居然不报毒:


怀疑是我的病毒库比较旧,但升级RIS2011的病毒库时让人一头雾水:


这个毒的预防比较简单,将C:\Windows\System32\spool\prtprocs\w32x86 文件夹的权限设置成下图这个样子即可:


用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51
最后编辑baohe 最后编辑于 2010-10-07 14:02:31
分享到:
gototop
 

回复:建议瑞星工程师认真研究一下这个TDSS病毒

这个要靠现在版本的瑞星杀毒软件的驱动来处理中毒后的电脑,很费劲了。

只有全部文件加库后,脱离系统环境杀了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:建议瑞星工程师认真研究一下这个TDSS病毒

device tree这工具提供的信息不是我能理解的。
gototop
 

回复: 建议瑞星工程师认真研究一下这个TDSS病毒



引用:
原帖由 byxxdrls 于 2010-10-7 12:51:00 发表
device tree这工具提供的信息不是我能理解的。  



这个等于XueTr所见的那个 “内核”/“对象劫持”显示的异常项。
gototop
 

回复:建议瑞星工程师认真研究一下这个TDSS病毒

猫叔工具真多。。。。
我一直有个遗憾,那就是。。。。。。。为什么我的电脑不中病毒~~?

病毒样本请发到:xqbin318@163.com
gototop
 

回复:建议瑞星工程师认真研究一下这个TDSS病毒

样本能否发上来
gototop
 

回复: 建议瑞星工程师认真研究一下这个TDSS病毒



引用:
原帖由 baohe 于 2010-10-13 15:35:00 发表


引用:
原帖由 newcenturymoon 于 2010-10-12 17:36:00 发表
样本能否发上来



样本在此


密码PS你




密码到底是什么?
gototop
 

回复: 建议瑞星工程师认真研究一下这个TDSS病毒



引用:
原帖由 baohe 于 2010-10-13 15:35:00 发表


引用:
原帖由 newcenturymoon 于 2010-10-12 17:36:00 发表
样本能否发上来



样本在此


密码PS你





密码到底是神马???
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT