瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 利用IFEO重定向技术判病毒“死缓”

12   2  /  2  页   跳转

利用IFEO重定向技术判病毒“死缓”

收藏
本主题由 大版主 networkedition 于 2012-2-24 13:17:54 执行 移动主题 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:13 | 显示全部 短消息 资料
字号: 11楼

【回复“終生學習”的帖子】

仿照次法,可以搞掂。

判断根据是你26-27楼的图。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:17 | 显示全部 短消息 资料
字号: 12楼

引用:
【終生學習的贴子】
知道了,,已经干掉了,,不过这个病毒好像没有什么威力啊,刚才发作的时候只是刚才电脑很卡而已,也许是我发现的早在任务管理器里关闭了两个logo_1.exe进程
………………

此毒感染.exe(实机测试结果证实)
被感染的.exe增大19K
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:20 | 显示全部 短消息 资料
字号: 13楼

引用:
【xhh520的贴子】名字好象不是logo_1.exe 是logo1_.exe 看好咯 !应该是这个吧?

变易的哟 logo_1.exe 瑞星可以干掉
………………

logo_1.exe ————————瑞星19.04.30根本查不到(看17楼帖图)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 16:30 | 显示全部 短消息 资料
字号: 14楼

引用:
【終生學習的贴子】
那被增大后的.exe日期会改会当天的日期吗?我检查了几个.exe程序,日期没有发现被更改为今天3:25分的日期


………………

文件的“修改日期”——我没留神看。
不过,看,也要用IceSword之类的工具看。explorer经常被病毒糊弄。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 17:00 | 显示全部 短消息 资料
字号: 15楼

引用:
【終生學習的贴子】
我只会用IceSword删除文件,所以其它功能不是清楚,,给出截图,一张是“文件”里的随便找个.exe文件,另一张是“查看”的“监视进线程创建”
………………

附件附件:

下载次数:193
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-4 17:00:12
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-04 17:53 | 显示全部 短消息 资料
字号: 16楼

引用:
【mopery的贴子】等明天升级瑞星即可查杀修复..

别用今天的查..= =..今天的查会误报..或者就是乱删..
………………

死缓,就缓这么两天?
logo_1.exe大限将至?
默哀............
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-05 22:39 | 显示全部 短消息 资料
字号: 17楼

引用:
【QQ190233517的贴子】iefo是什么?

………………

IFEO是注册表中的一个分支:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-10 16:10 | 显示全部 短消息 资料
字号: 18楼

引用:
【終生學習的贴子】刚刚截获,,这个仿威金已经变种了。logo_1.exe变成了logo1_.exe 然后不再是c:\windows\system里,,而是直接在c:\windows下,同时生成~tmp2971.exe和SYSTEM32.vxd.dat文件,之后每个盘符下生成autorun.inf和pif.exe。。然后不单止多出个“自动播放”,而且还伪造了一个选项“打开”。。
………………

我也拿到一个类似的变种。
对于本贴的办法来说,它这种小打小闹的“变”————没用。这个帖子的办法一样把它弄死了。

附件附件:

下载次数:222
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-10 16:10:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-10 16:14 | 显示全部 短消息 资料
字号: 19楼

引用:
【終生學習的贴子】刚刚截获,,这个仿威金已经变种了。logo_1.exe变成了logo1_.exe 然后不再是c:\windows\system里,,而是直接在c:\windows下,同时生成~tmp2971.exe和SYSTEM32.vxd.dat文件,之后每个盘符下生成autorun.inf和pif.exe。。然后不单止多出个“自动播放”,而且还伪造了一个选项“打开”。。
………………

要变得躲避这招————得变这个文件名才行

附件附件:

下载次数:197
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-10 16:14:02
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT