瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.

12   1  /  2  页   跳转

致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:25 | 显示全部 短消息 资料
字号: 1楼

致“孤独更可靠”:没有IFEO键,DCFEEAC5.EXE就是个残废.



1、关闭所有安全软件,运行DCFEEAC5.EXE(图1)。

附件附件:

下载次数:290
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:25:45
描述:
预览信息:EXIF信息



最后编辑2007-06-06 12:33:40.327000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:26 | 显示全部 短消息 资料
字号: 2楼

2、重启。重启后,所有安全软件可以正常运行,用auroruns可看到病毒启动项(图2)。可用autoruns删除之。

附件附件:

下载次数:279
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:26:34
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:27 | 显示全部 短消息 资料
字号: 3楼

3、删除其启动项后,病毒试图通过explorer.exe重写其启动项(图3);可被SSM阻止。

附件附件:

下载次数:291
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:27:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:27 | 显示全部 短消息 资料
字号: 4楼

4、IFEO劫持项————一个也没写成(图4)。因为我事先已将IFEO键删除了。由此可见,目前的变种尚无建立IFEO键的能力。

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:27:56
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:28 | 显示全部 短消息 资料
字号: 5楼

5、病毒文件可以通过普通方式删除(图5)。然后,顺手删除那个CLSID即可。

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:28:30
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:33 | 显示全部 短消息 资料
字号: 6楼

引用:
【孤独更可靠的贴子】

这次更新的和以前作风大相径庭哈``


………………

我认为:主要是因为我事先删除了IFEO键的原因。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:40 | 显示全部 短消息 资料
字号: 7楼

引用:
【孤独更可靠的贴子】

我也给了阳光个,他说也没有生成IFEO

我也写了个分析``

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html




插进程的那个dll,重启后autoruns也可以打开啊?


………………

我的autoruns早就不叫autoruns了。
这种不需要安装的DD,机动性很强,随便你将其放在哪里————都行。
为什么给病毒留机会?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 10:57 | 显示全部 短消息 资料
字号: 8楼

引用:
【孤独更可靠的贴子】



Dll检查窗口"关键字"关闭的``(这次用了另类挂勾技术)

好像打不开啊!



嘿嘿,用冰刃可以乱删``


………………

更改一下Tiny的设置即可。
Tiny的“禁止获得系统权限、代码注入、改变对象安全属性”的设置:
观测病毒时,只要有红框所示的设置,即使放它一码(蓝框,运行病毒前临时改的),病毒难掀起大浪。

附件附件:

下载次数:172
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 10:57:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 11:20 | 显示全部 短消息 资料
字号: 9楼

引用:
【孤独更可靠的贴子】

哈哈,SSM设置禁止全局挂勾的话``所有事情都省了`



西西``
………………

SSM的explorer规则这样设置,某些应用程序的性能可能会受影响。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-06 11:28 | 显示全部 短消息 资料
字号: 10楼

【回复“孤独更可靠”的帖子】
这类下流病毒的防护关键:
1、删除IFEO键。
2、用Tiny禁止IFEO键的建立、写入、删除操作。

估计至少可以解决中招后大多数安全软件被劫持的问题了。

附件附件:

下载次数:207
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-6 11:28:38
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT