1   1  /  1  页   跳转

拦截启动项失败

拦截启动项失败

系统:winxp-sp3

浏览器:ie6  猎豹


操作:升级瑞星到最新版,取消自动放行签名和云文件,运行样本


结果:瑞星防御失败,样本成功添加启动项!!!



 附件: 您所在的用户组无法下载或查看附件



样本 看到了吗

用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复:拦截启动项失败

特殊的启动方式
Backdoor/WHHFD.exe
介绍:
要让一个程序开机自动运行,最常用的办法是在注册表Run子键下添加一个新的条目,然而病毒偏偏不喜欢走寻常路。文件替换、修改Shell

子键、修改启动文件夹路径、修改AppInit_DLLs,方法层出不穷。只要你有足够的创造力,并对Windows系统有独到的了解,你就能发明下一

种Windows认识,而杀毒软件不认识的自启动方式。
这次的样本通过修改输入法加载项、修改Winsock SPI来达到自启动目的,虽然这种方法已经出现过很久了,但采用此法的病毒还算少数。图

中所示的是病毒添加的异常输入法加载项。
君素雅达,必不致令我徒劳往返也
gototop
 

回复: 拦截启动项失败

再看看这个样本

特殊的启动方式(2)
Backdoor/systmp.exe
介绍:
从某种角度分类,病毒可以分为活跃型与隐蔽型2种。活跃型病毒往往释放很多文件,产生很多进程,较多的消耗系统资源,添加多个自启动


项且顽固驻留。隐蔽型做到最小化资源占用,力求不对系统造成任何影响,往往只拥有一个启动方式。隐蔽型的病毒比起活跃型更易存活,


因为用户难以发现它们。流氓软件、广告程序多属活跃型,而木马后门多属隐蔽型。
这次的样本就是一个隐蔽的后门。它通过修改AppInit_DLLs实现加载,动作很简单。但智能HIPS却常常被这种简单动作的样本蒙蔽。感染病


毒后,可以看出新启动的进程都有一个异常模块sys.tmp。

附件附件:

您所在的用户组无法下载或查看附件

君素雅达,必不致令我徒劳往返也
gototop
 

回复:拦截启动项失败

此问题已收集。感谢您对瑞星产品的支持!
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT