1   1  /  1  页   跳转

瑞星要注意保护自己

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-02 09:13 | 只看楼主 短消息 资料
字号: 1楼

瑞星要注意保护自己

见到一个改写瑞星文件的病毒。
样本来自:http://bbs.janmeng.com/thread-774908-1-1.html
此毒貌似是1l1.exe的改良版。有很多行为与1l1.exe相似。
粗略观察到的动作有:
结束NOD32进程、结束windows安全中心、结束windows防火墙。从网络下载大量病毒。多DLL插入多个应用程序进程。
与原先那个 1l1.exe不同的是:这个down.exe在开启瑞星全部监控的条件下改写了瑞星的部分文件

 附件: 您所在的用户组无法下载或查看附件


附上样本(密码:123)

 附件: 您所在的用户组无法下载或查看附件

此毒的注册表改动如下:


 附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
最后编辑baohe 最后编辑于 2008-07-02 09:14:54
分享到:
gototop
 
wjzdw
头像
特邀体验者
  • 帖子:357
  • 注册: 2007-02-24
  • 来自:
论坛8周年活动礼物
发表于: 2008-07-02 10:36 | 短消息 资料
字号: 2楼

回复:瑞星要注意保护自己

改写??

是不是作者觉得瑞星的程序写得太烂了  帮忙优化一下饿?
一见钟情,再而衰,三而竭。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-02 10:43 | 短消息 资料
字号: 3楼

回复:瑞星要注意保护自己

应该是先拿瑞星开刀试试

效果好,估计以后就要横扫所有主流的杀毒软件了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
十指头抠屁眼
头像
禁止发言
  • 帖子:26
  • 注册: 2008-07-01
  • 来自:
发表于: 2008-07-02 13:16 | 短消息 资料
字号: 4楼

回复:瑞星要注意保护自己

该用户帖子内容已被屏蔽
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-07-02 15:05 | 短消息 资料
字号: 5楼

回复:瑞星要注意保护自己

剑盟不欢迎做免杀的会员
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-07-02 15:13 | 短消息 资料
字号: 6楼

回复:瑞星要注意保护自己

前一段见到了,改写后,监控变红伞、升级提示出错,会导致无法打开office文档
gototop
 
DoctorLc
头像
特邀体验者
  • 帖子:2994
  • 注册: 2007-06-02
  • 来自:
发表于: 2008-07-03 19:11 | 短消息 资料
字号: 7楼

回复:瑞星要注意保护自己

那几副图用的是什么工具啊?
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-07-04 14:08 | 短消息 资料
字号: 8楼

回复 7F DoctorLc 的帖子

tinny firwall
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2008-07-05 20:36 | 短消息 资料
字号: 9楼

回复:瑞星要注意保护自己

记得还改写360目录下的东西
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT