新版MSDOS.EXE - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流新版MSDOS.EXE

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

新版MSDOS.EXE

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-24 16:23 \| 只看楼主短消息资料字号：小中大 1楼新版MSDOS.EXE http://bbs.ikaka.com/showtopic-8525793.aspx 此样本与上面帖子中提到的那个MSDOS.EXE的MD5值不同。行为一样。瑞星20.54.22不报。请入库。解压密码：123 用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn) 附件: 您所在的用户组无法下载或查看附件
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-24 17:16 \| 短消息资料字号：小中大 2楼回复：新版MSDOS.EXE 这回卡巴也没反应。
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-24 22:27 \| 短消息资料字号：小中大 3楼回复: 新版MSDOS.EXE 这是个有点狠的病毒，卡巴至今不报。不知瑞星的反应如何？卡巴不但没反应，而且，在我的系统上刚一运行，以为是森严壁垒的卡巴就全面挂掉了！有其它安软的交叉保护，还留了个查杀模块能工作；Tiny的ActivetityMonitor要不是SSM护着也垮了。后来发现SSM虽然表面还是那样绿，但后来发现原以破解的可以长期免费使用的也变成了试用期已过的东东，虽然在其监视下的运行，每一步都点了“拒绝”，但这个病毒要写得文件、注册表还是都被写了。最让人烦恼的是经营了这许久，本可免费用数十年、升级非常爽的卡巴套装（KIS6）居然又被打入了黑名单，鼓捣了这一个下午和晚上才恢复！
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-24 22:37 \| 只看楼主短消息资料字号：小中大 4楼回复: 新版MSDOS.EXE 引用: 原帖由两个铁球于 2008-7-24 22:27:00 发表这是个有点狠的病毒，卡巴至今不报。不知瑞星的反应如何？卡巴不但没反应，而且，在我的系统上刚一运行，以为是森严壁垒的卡巴就全面挂掉了！有其它安软的交叉保护，还留了个查杀模块能工作；Tiny的ActivetityMonitor要不是SSM护着也垮了。后来发现SSM虽然表面还是那样绿，但后来发现原以破解的可以长期免费使用的也变成了试用期已过的东东，虽然在其监视下的运行，每一步都点了“拒绝”，但这个病毒要 SSM报过期，原因在于此毒将系统时间改为2004年。手工杀毒的第一步应该是重启、按F1，在BIOS中将系统时间改回到现在。重启。SSM完好无恙。在SSM的blocked组中添加一条校验和规则（针对MSDOS.EXE的）。重启。此毒完全死掉。删除下列文件即可： 1、各分区根目录下的autorun.inf和MSDOS.EXE 2、system32目录下的wuauclt1.exe和w1nnet.dll 3、dllcache目录下的wuauclt.exe 4、internet explorer目录下的x.pif(x代表数字）病毒添加的加载项和IFEO劫持项要一一删除。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-24 22:38 \| 短消息资料字号：小中大 5楼回复: 新版MSDOS.EXE 附件: 您所在的用户组无法下载或查看附件后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这样就为病毒木马肆意拜访Klif这样重要的驱动大开了方便之门！两个铁球最后编辑于 2008-07-24 22:52:15
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-24 22:42 \| 只看楼主短消息资料字号：小中大 6楼回复: 新版MSDOS.EXE 引用: 原帖由两个铁球于 2008-7-24 22:38:00 发表后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这烟酒为病毒木马肆意拜访Klif这样重要的驱动大开了方便之门！此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-24 22:46 \| 短消息资料字号：小中大 7楼回复: 新版MSDOS.EXE 引用: 原帖由 baohe 于 2008-7-24 22:42:00 发表 [quote] 原帖由两个铁球于 2008-7-24 22:38:00 发表后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这烟酒为病毒木马肆没装虚拟机，不敢往下看，确实写了那个beep.sys,还不知这个驱动干啥的呢。附件: 您所在的用户组无法下载或查看附件
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-24 22:59 \| 短消息资料字号：小中大 8楼回复：新版MSDOS.EXE 此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。我的被写过的Beep.sys用TrackingAnlysier的恢复功能没法恢复，怎么办？实机啊。不过，用tiny的update看，各MD5，包挂beep.sys的并没改变，是否意味着由于tiny的文件保护，和运行时把SSM看到的很多活动都点了“拒绝”的结果，“写”实际没做成？两个铁球最后编辑于 2008-07-24 23:04:04
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-07-24 23:05 \| 只看楼主短消息资料字号：小中大 9楼回复: 新版MSDOS.EXE 引用: 原帖由两个铁球于 2008-7-24 22:59:00 发表此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。我的被写过的Beep.sys用TrackingAnlysier的恢复功能没法恢复，怎么办？实机啊。不过，用tiny的update看，各MD5，包挂beep.sys的并没改变，是否意味着由于tiny的文件保护，和运行时把SSM看 Beep.sys－－－－删除
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2008-07-25 09:00 \| 短消息资料字号：小中大 10楼回复：新版MSDOS.EXE 猫叔将版主之家的关于tiny的设置文章贴上来吧，大家学习一下
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT