1   1  /  1  页   跳转

[意见建议] RIS2011在“后发制人”方面有待改进

RIS2011在“后发制人”方面有待改进

win32.madangel.c  是个感染性病毒(感染除系统目录外的各个分区的.exe) 。

RIS2011 已经能杀此毒,经RIS2011 清除被感染程序中的病毒代码后,这些.exe程序还能正常运行。

测试步骤:

1、关闭所有监控,运行病毒程序。待感染过程完成后,重启。重启后,RIS2011不能正常工作。

2、这个病毒的核心程序是system32目录下的那个serverx.exe。



鉴于此毒禁止windows的注册表编辑器,因此用第三方注册表编辑工具添加一个IFEO劫持项,将病毒程序serverx.exe劫持到一个事先建好的空文件C:\1.exe。



然后,重启。

重启后,RIS2011 才能正常工作。此时执行全盘杀毒,所有被感染文中的病毒代码均可被清除。经RIS2011处理过的被感染程序均可正常运行。

附上这个病毒样本(解压密码:123):

附件: 1.rar (2010-9-7 16:24:53, 39.38 K)
该附件被下载次数 275



用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61
最后编辑baohe 最后编辑于 2010-09-07 16:28:52
分享到:
gototop
 

回复:RIS2011在“后发制人”方面有待改进

样本已收集,感谢反馈。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT