瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 此毒好阴损!!!(最好高手来分析下此毒的动作)

123   3  /  3  页   跳转

[求助] 此毒好阴损!!!(最好高手来分析下此毒的动作)

收藏
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 14:59 | 显示全部 短消息 资料
字号: 21楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 14:56:00 发表
这你得问阳光自己了



我还没玩过那个编辑器

你是不是还没点击“将记录用于木马行为防御”?? 


不用这么小看我吧
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 15:07 | 显示全部 短消息 资料
字号: 22楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)

知道是谁了 srevice启动了svchost  难到编辑器里编辑后门启动svchost对services是无效的?
注册表改动不是ms.exe做的监控不到(编辑器漏洞)

这两个问题回答下吧
最后编辑SpeW 最后编辑于 2009-02-04 15:15:12
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 15:21 | 显示全部 短消息 资料
字号: 23楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 rstgl 于 2009-2-4 15:18:00 发表
没看出这个病毒和其他病毒有太多的区别,都是创建服务,挂钩子,往SYSTEM32里创建文件。只要管理好SYSTEM32和注册表服务项,它就掀不起多大风浪。在系统加固里勾选系统目录和服务提示,大部分病毒都能报警。唯一难解决的是下载程序安装包带毒。要是每一个提示都看清楚再选择放行还是拒绝估计没有几个人受得了。这谈不上是瑞星的不是,任何HIPS都难以解决下载程序包带毒。只有在知名大网站下载,用杀软扫描(防


你那个问题绝大部分都是用外挂用出毒来的    很多人就这样没办法 明知道有毒就要用
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 15:36 | 显示全部 短消息 资料
字号: 24楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 15:31:00 发表


我反正还是没折腾出木马行为防御的个人自定义操作

实在吃不消


http://bbs.ikaka.com/showtopic-8559804.aspx 看看这篇帖做参考
其实没什么就是知道病毒会做什么动作,然后照葫芦画瓢,把动作编成规则就行了

http://bbs.ikaka.com/showtopic-8591420.aspx这是我编的规则 你也可以参考一下
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 15:38 | 显示全部 短消息 资料
字号: 25楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 rstgl 于 2009-2-4 15:35:00 发表
任何程序包括病毒创建服务都是调用SERVICES。所以你看到瑞星提示SERVICES创建服务时就应该警觉。除非你此时在安装信得过的程序否则应该选择拒绝。我知道你是希望瑞星能明确告诉你是谁调用SERVICES注册服务,但这是瑞星做不到的。瑞星的服务还是SERVICES加载的呢。下级能监控上级吗?不信你在应用程序控制里添加SERVICES被启动提示或者放过看看是什么程序启动了SERVICES。能看到吗


此毒微 点 能截获 不知道是为什么
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 15:51 | 显示全部 短消息 资料
字号: 26楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 天月来了 于 2009-2-4 15:46:00 发表
你这问题最难回答

呵呵!!!

至少那点点是专业级的程序行为监控

它内置的行为特征库不是别人说做就彻底做的一样的效果的。

并且它还支持行为特征库的升级。


确实  瑞星木马行为拦截一出来我就不怎么看好它  就和08的恶意行为检测一个样 没啥子用的
而且行为库不更新  就给个编辑器出来意思意思  那东西不是一般人能用的  我现在也用着累  这不?被这个病毒给雷倒了,编不出规则拦截它,除非用那条变态规则-----可疑病毒6(虽然BT但不保证误报的)
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 16:05 | 显示全部 短消息 资料
字号: 27楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 16:01:00 发表
因为  微  点  有白名单库 正是这个库 才能保证他的行为 不误报的 这个白名单库也是实时升级的 瑞星没有这样的库  所以 行为不能做的这么严格
不同的发展方向
瑞星现在侧重于 不让病毒进入电脑


我知道瑞星放挂马方面下了功夫的 但是我想说  瑞星可能还没搞清楚状况  很多人是下载的时候中的  尤其是外挂另外就是在不知名的网站下载了不安全的软件 我敢说来这论坛求助的估计绝大部分不是浏览网页中的毒  09防挂马确实强悍的 基本不会中毒的
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 16:20 | 显示全部 短消息 资料
字号: 28楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 rstgl 于 2009-2-4 16:17:00 发表
你能肯定x就完全没有误报吗?要拦这个病毒有什么难的,难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报,要拦这个病毒也不难。木马行为编辑器,文件规则,创建文件,目录名字符串是C:\WINDOWS\system32,主文件类型数值等于2就可以了。其实误报也不会多的,本来正常程序往SYSTEM32创建PE文件的就不多,更何况是无窗口程序。


老大 要文件名包含DLL或扩张名包含.DLL才行  这毒放不是PE
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 16:21 | 显示全部 短消息 资料
字号: 29楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 16:16:00 发表


引用:
原帖由 SpeW 于 2009-2-4 16:05:00 发表
[quote] 原帖由 newcenturymoon 于 2009-2-4 16:01:00 发表
因为  微  点  有白名单库 正是这个库 才能保证他的行为 不误报的 这个白名单库也是实时升级的 瑞星没有这样的库  所以 行为不能做的这么严格
不......



这个我知道 很多xxx网要Qvod这个P2P的播放器  不过Qvod本身没问题 只是要去官方下才比较安全 那些网站提供的下载都是带马的
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-04 16:33 | 显示全部 短消息 资料
字号: 30楼

回复: 此毒好阴损!!!(最好高手来分析下此毒的动作)



引用:
原帖由 newcenturymoon 于 2009-2-4 16:26:00 发表
[quote] 原帖由 SpeW 于 2009-2-4 16:20:00 发表
[quote] 原帖由 rstgl 于 2009-2-4 16:17:00 发表
你能肯定x就完全没有误报吗?要拦这个病毒有什么难的,难的是又要拦住病毒又不能有误报。你如果能忍受并有能力识别一些误报,要拦这个病毒也不难。木马行为编辑器,文件规则,创建文件,目录名字符串是C:\WINDOW


学习了
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT