12   1  /  2  页   跳转

防不胜防

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 11:27 | 显示全部 短消息 资料
字号: 1楼

防不胜防

C:\Documents and Settings\用户名\桌面\X@\Windows.Activation.Crack.Final-ETH0.zip
C:\Documents and Settings\用户名\Shared\Windows.Activation.Crack.Final-ETH0.zip

我头一次见到这样释放文件的病毒。孤陋寡闻了。惭愧!


C:\Documents and Settings\用户名\桌面\X@\
C:\Documents and Settings\用户名\Shared\

这样的畸形目录,用户根本无法访问 。用IceSword也见不到这样的目录。中了这样的毒,处理时想必很棘手。

用Tiny,自己设置规则,可以禁止这类文件释放。


 附件: 您所在的用户组无法下载或查看附件

那位大师感兴趣,请拿去研究一下这个病毒。密码:123


 附件: 您所在的用户组无法下载或查看附件

百事灵回复:瑞星病毒库版本:21.30.03 已可查杀。
最后编辑百事灵 最后编辑于 2009-05-19 09:18:10
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 11:31 | 显示全部 短消息 资料
字号: 2楼

回复: 防不胜防



引用:
原帖由 aaccbbdd 于 2009-5-17 11:30:00 发表
猫叔
是不是延迟删除的删除工具可以删除畸形目录里的文件  


不清楚。如果有条件,你可以试试。

PS:现在,我的本本上只有Tiny这一个DD;其它的,全部请出了系统。开机,那叫一个爽!
最后编辑baohe 最后编辑于 2009-05-17 11:51:32
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 12:42 | 显示全部 短消息 资料
字号: 3楼

回复: 防不胜防



引用:
原帖由 smallyou93 于 2009-5-17 12:04:00 发表
猫叔没用XueTr?。。

猫叔只用tiny,连SSM也抛弃了?


需要安装的,只留下TINY。

不需要安装的,只留下IceSword 。俺是pjf的粉丝哦~~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 14:55 | 显示全部 短消息 资料
字号: 4楼

回复: 防不胜防



引用:
原帖由 smallyou93 于 2009-5-17 14:52:00 发表
我是没法折腾的了

[attach]520032[/attach]


中招了?虚拟机?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:18 | 显示全部 短消息 资料
字号: 5楼

回复: 防不胜防



引用:
原帖由 smallyou93 于 2009-5-17 14:59:00 发表
是的 ,狂弹这提示窗出来,只加载了dll。。


先把那个DLL弄到blacklist里面,然后用IceSword从进程中卸除它,结果怎样呢?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:19 | 显示全部 短消息 资料
字号: 6楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:18:00 发表
我是晕4遇到同样的问题

我说的那些古怪文件释放了没?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:28 | 显示全部 短消息 资料
字号: 7楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:20:00 发表
没有哟,估计是检测虚拟机环境的。


我的实机观察背景比较特殊。

1、观察此毒前有CSS做的整个硬盘备份(要动这些备份需访问隐藏分区)。

2、观察后,删除当前用户目录C:\Documents and Settings\baohelin\下的病毒文件svchost.exe(隐藏的)。然后用CSS的Rescue and Recovery从硬盘备份中调出整个Documents and Settings目录内容,覆盖运行病毒后的整个Documents and Settings目录。

3、设置Tiny规则,再次观察。成功阻止那些文件释放。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:34 | 显示全部 短消息 资料
字号: 8楼

回复: 防不胜防



引用:
原帖由 byxxdrls 于 2009-5-17 15:31:00 发表
刚才试了一下,实机也是如此。


汗!

我再找那个原样本发上来。(不过,除了文件名,二者是一样的。我核对过MD5啊)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:35 | 显示全部 短消息 资料
字号: 9楼

回复:防不胜防

这是原样本

无密码


 附件: 您所在的用户组无法下载或查看附件
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-17 15:55 | 显示全部 短消息 资料
字号: 10楼

回复: 防不胜防



引用:
原帖由 smallyou93 于 2009-5-17 15:43:00 发表
汗,还是没办法运行..


去掉Tiny针对此毒的规则。

重演一遍。

1、释放文件。


 附件: 您所在的用户组无法下载或查看附件
2、活动的病毒程序位置:

 附件: 您所在的用户组无法下载或查看附件

3、病毒进程:

 附件: 您所在的用户组无法下载或查看附件

4、网络攻击:


 附件: 您所在的用户组无法下载或查看附件



PS:也许是我的系统除Tiny之外,再无其它安全软件干扰。
最后编辑baohe 最后编辑于 2009-05-17 16:03:57
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT