1   1  /  1  页   跳转

熊猫再变,还是过不了IFEO这关

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:33 | 显示全部 短消息 资料
字号: 1楼

熊猫再变,还是过不了IFEO这关

熊猫的一个新变种,主体文件名变成了sppoolsv.exe。
我还是用那老把戏:自己在IFEO分支添加Debugger键值(指向瑞星监控)。这变种就傻了!

附件附件:

下载次数:260
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-16 9:33:03
描述:
预览信息:EXIF信息



最后编辑2007-04-09 17:15:41
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:33 | 显示全部 短消息 资料
字号: 2楼

2

附件附件:

下载次数:270
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-16 9:33:30
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:33 | 显示全部 短消息 资料
字号: 3楼

3

附件附件:

下载次数:254
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-16 9:33:46
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:34 | 显示全部 短消息 资料
字号: 4楼

4

附件附件:

下载次数:270
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-16 9:34:07
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:39 | 显示全部 短消息 资料
字号: 5楼

引用:
【鸟儿天上飞的贴子】大叔 鸟儿有个问题请教啊...关于 C:\WINNT\578685M.BMP 这样病毒类型的文件 用IFEO 能组织加载吗?  我让中毒者实验他们说不行..我怕他们操作问题  问问您,,
………………

没试过。
我从未拿到过这类样本。

另:IFEO并非万能
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:42 | 显示全部 短消息 资料
字号: 6楼

引用:
【deadmanzj的贴子】熊猫的难度在于下载的垃圾多,文件修复麻烦!
………………

所以,预防是重要的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:48 | 显示全部 短消息 资料
字号: 7楼

引用:
【鸟儿天上飞的贴子】改天我自己试试呵呵 用冰刃回这样的帖子太累了..希望有简单方法 嘎嘎

大叔去看看这帖子吧..棘手了  关于这病毒的查杀因该改改了 呵呵
http://forum.ikaka.com/topic.asp?board=28&artid=8251369
………………

C:\WINDOWS\system32\twunk32.exe
这个木马可能有变。
我没有这个马的新样本,无从写查杀方法。
不要再推荐那个老的查杀方法了。估计早就没用了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-01-16 09:53 | 显示全部 短消息 资料
字号: 8楼

引用:
【鸟儿天上飞的贴子】
也许是QQ什么的没删吧..一运行Q他就报

………………

twunk32.exe用木马副本覆盖TTPlatform
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-09 17:25 | 显示全部 短消息 资料
字号: 9楼

【回复“lxmxn”的帖子】
把图1和图4结合起来看,就明白了。
图1是“原因”;图4是“结果”。之所以有这种因果关系,是因为我在IFEO里自己建立了一个Debugger。
Debugger这种小把戏没什么意思。闲寂无聊时玩玩儿而已。
病毒也可以Debugger掉杀软乃至防火墙(现在已经有N个这样做的病毒了)。理论上,任何一个.exe都可以这样被做掉。做掉也没什么,改名运行即可。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT