建议瑞星工程师认真研究一下这个TDSS病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛建议瑞星工程师认真研究一下这个TDSS病毒

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 建议瑞星工程师认真研究一下这个TDSS病毒

本主题由大版主 baohe 于 2010-10-13 16:37:39 执行主题置顶/取消操作

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-10-05 21:35 \| 只看楼主短消息资料字号：小中大 1楼建议瑞星工程师认真研究一下这个TDSS病毒关于此毒的初步观察已经在下面这个帖子中说过了： http://bbs.ikaka.com/showtopic-8800040.aspx RIS2011虽然已经报这个样本setup17.exe为病毒，但关闭瑞星文件监控运行此毒，在中毒环境（WIN7）中RIS2011则完全查不到它。这个毒的隐蔽性相当不错，在国外已很流行，且新变种还在不断出现。国外BBS上的求助者甚多，尤其以中TDL3/TDL4 者最为苦恼（很难收拾）。看了他们的讨论，多数人认为下图的这个改变对杀软商构成挑战： 1-中毒前后对比.PNG (1070.64 K) 2010-10-5 21:34:54 0.PNG (146.22 K) 2010-10-5 21:43:44 杀净病毒后，这个被病毒“偷走”的\Device\Harddisk0\DR0恢复正常。 2-杀净病毒后Device-Haddisk-dr0恢复显示.PNG (403.77 K) 2010-10-5 21:34:54 中此毒后，用WIN7的资源监视器查看spoolsv.exe进程关联的句柄，也能发现中毒后的蛛丝马迹： 2-中毒时spoolsv进程异常.png (686.21 K) 2010-10-5 21:34:54 杀净病毒后spoolsv.exe进程关联的句柄恢复正常： 3-杀净病毒后spoolsv进程恢复正常.PNG (464.67 K) 2010-10-5 21:34:54 手工杀净病毒后（系统已经手工完全清理干净），此时此病毒驱动在WIN7下已经可见且可手动删除。但用RIS2011扫特意保留下来的这两个病毒驱动，居然不报毒： 4-RIS2011表现不好.PNG (114.85 K) 2010-10-5 21:34:54 怀疑是我的病毒库比较旧，但升级RIS2011的病毒库时让人一头雾水： 5-.PNG (232.86 K) 2010-10-5 21:34:54 这个毒的预防比较简单，将C:\Windows\System32\spool\prtprocs\w32x86 文件夹的权限设置成下图这个样子即可： 6.PNG (338.55 K) 2010-10-5 21:34:54 用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51 baohe 最后编辑于 2010-10-07 14:02:31
baohe 大版主帖子:72569 注册: 2003-04-10 来自:	分享到：

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2010-10-06 07:42 \| 短消息资料字号：小中大 2楼回复：建议瑞星工程师认真研究一下这个TDSS病毒这个要靠现在版本的瑞星杀毒软件的驱动来处理中毒后的电脑，很费劲了。只有全部文件加库后，脱离系统环境杀了。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-10-07 12:51 \| 短消息资料字号：小中大 3楼回复：建议瑞星工程师认真研究一下这个TDSS病毒 device tree这工具提供的信息不是我能理解的。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

baohe 大版主帖子:72569 注册: 2003-04-10 来自:	发表于： 2010-10-07 14:06 \| 只看楼主短消息资料字号：小中大 4楼回复: 建议瑞星工程师认真研究一下这个TDSS病毒引用: 原帖由 byxxdrls 于 2010-10-7 12:51:00 发表 device tree这工具提供的信息不是我能理解的。这个等于XueTr所见的那个 “内核”/“对象劫持”显示的异常项。
baohe 大版主帖子:72569 注册: 2003-04-10 来自:

xqb761 拙长孩提狮帖子:164 注册: 2007-01-26 来自:	发表于： 2010-10-12 16:57 \| 短消息资料字号：小中大 5楼回复：建议瑞星工程师认真研究一下这个TDSS病毒猫叔工具真多。。。。我一直有个遗憾，那就是。。。。。。。为什么我的电脑不中病毒~~？病毒样本请发到：xqbin318@163.com
xqb761 拙长孩提狮帖子:164 注册: 2007-01-26 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2010-10-12 17:36 \| 短消息资料字号：小中大 6楼回复：建议瑞星工程师认真研究一下这个TDSS病毒样本能否发上来
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:	发表于： 2010-10-13 17:46 \| 短消息资料字号：小中大 7楼回复: 建议瑞星工程师认真研究一下这个TDSS病毒引用: 原帖由 baohe 于 2010-10-13 15:35:00 发表引用: 原帖由 newcenturymoon 于 2010-10-12 17:36:00 发表样本能否发上来样本在此密码PS你密码到底是什么？
湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:

duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自:	发表于： 2011-04-23 18:44 \| 短消息资料字号：小中大 8楼回复: 建议瑞星工程师认真研究一下这个TDSS病毒引用: 原帖由 baohe 于 2010-10-13 15:35:00 发表引用: 原帖由 newcenturymoon 于 2010-10-12 17:36:00 发表样本能否发上来样本在此密码PS你密码到底是神马？？？
duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT