123   2  /  3  页   跳转

关于update病毒群的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 15:39 | 显示全部 短消息 资料
字号: 11楼

引用:
【FCOME的贴子】猫叔运行后没有这个启动项目吗?

………………

没有那个启动项目
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 15:41 | 显示全部 短消息 资料
字号: 12楼

又丢楼了!
补图2

附件附件:

下载次数:417
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-26 15:41:32
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 15:49 | 显示全部 短消息 资料
字号: 13楼

引用:
【FCOME的贴子】
【回复“baohe”的帖子】
可我在我的影子下运行后它加了那个启动项目,在我重启机器--按影子来说--应该没有了。可是它还是存在的!

………………

有点儿晕。
我是实机运行的。
没有这个启动项。

附件附件:

下载次数:443
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-26 15:49:31
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 15:50 | 显示全部 短消息 资料
字号: 14楼

引用:
【不一样的黑客的贴子】想问猫叔 你这些病毒样本是什么地方找来的啊?
………………

这个样本是11楼提供的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 16:14 | 显示全部 短消息 资料
字号: 15楼

引用:
【FCOME的贴子】

那俺过会也实机运行下
还有个问题想求教猫叔:
在tiny的跟踪日志中为什么只是这种显示呢?
没有说明执行的内容。请文猫叔怎么设置才能看出来执行了什么过程?---可能说的有点含糊。
谢谢
………………

Tiny的完整日志————在这里看:

附件附件:

下载次数:418
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-26 16:14:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 16:17 | 显示全部 短消息 资料
字号: 16楼

病毒模块插入进程的部分记录:

附件附件:

下载次数:242
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-26 16:17:16
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 16:38 | 显示全部 短消息 资料
字号: 17楼

引用:
【FCOME的贴子】猫叔,在tiny的文件规则中,high与low权限有什么区别呢?
比如说我在high的时候设置对某个文件的操作权限,可是同样的规则在low权限下就不能好使(前提high的已删除!)
猫叔有时间的话能否给解答一下这个问题?
谢谢!
--------------
次主题的病毒是我同学的机器上---好像是给他杀毒不干净后留下的,原来的是在每个盘符下都有个一个autorun.inf文件。它执行两个文件一个是rising.exe另外一个忘记了!猫叔有兴趣的话我吧那个rising.exe也给您?
………………

1、对于现在大多数病毒,Tiny的low规则基本无用。所以,我偏好high。

2、用high规则,可能会妨碍某些软件的正常运行。只好采取折中或妥协的办法。

3、rising.exe样本————请发过来。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 16:42 | 显示全部 短消息 资料
字号: 18楼

引用:
【mopery的贴子】样本转发给我下..

bin59420@yahoo.com.cn
………………

已转发
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 16:50 | 显示全部 短消息 资料
字号: 19楼

引用:
【FCOME的贴子】我在系统盘的临时文件下还发现了这两个东东
http://boolom.com/update.exe----那个update.exe就是我在这里下的


http://boolom.com/exec.htm

每次清空 下次重启还有。。。。

………………

衰呀————你!!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-26 17:19 | 显示全部 短消息 资料
字号: 20楼

引用:
【mopery的贴子】时间改成 1981-01-12

下载
http://boolom.com/****/bt1.exe
http://boolom.com/****/bt2.exe
http://boolom.com/****/bt3.exe
http://boolom.com/****/bt4.exe
http://boolom.com/****/bt5.exe
http://boolom.com/****/bt6.exe
http://boolom.com/****/bt7.exe
http://boolom.com/****/bt8.exe
http://boolom.com/****/bt9.exe
http://boolom.com/****/bta.exe
http://boolom.com/****/btb.exe
http://boolom.com/****/btc.exe
http://boolom.com/****/btd.exe
http://boolom.com/****/bte.exe
http://boolom.com/****/btf.exe
http://boolom.com/****/btg.exe
http://boolom.com/****/bth.exe
http://boolom.com/****/bti.exe

………………

又更新了
1、我运行样本时,病毒下载到btg.exe为止。
2、完成感染,重启后,系统时间没有改动。

附件附件:

下载次数:203
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-26 17:19:06
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT