1   1  /  1  页   跳转

[RAV] 瑞星的“木马行为防御”与“dating.exe”病毒PK

瑞星的“木马行为防御”与“dating.exe”病毒PK

dating.exe运行后,在当前用户目录下释放一个当前用户名命名的病毒程序.exe(本例为baohelin.exe)
此毒样本已发到http://bbs.ikaka.com/showtopic-8635254.aspx

1、瑞星2010最新版本病毒库并不认识这个dating.exe。但瑞星的木马行为防御(采用推荐的设置)可发现病毒运行后释放的.tmp病毒程序的动作。






2、点击“隔离并删除”


3、点击“隔离并删除”后病毒依然运行中:

4、瑞星2010的“木马行为防御”再次发现病毒。点击“隔离并删除”。

5、再次点击“隔离并删除”后,病毒依然运行中:




PK结果:瑞星2010败北(任务栏上已经不见瑞星2010的踪影)





用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-06-23 17:18:30
分享到:
gototop
 

回复: 瑞星的“木马行为防御”与“dating.exe”病毒PK



引用:
原帖由 newcenturymoon 于 2009-6-23 17:32:00 发表
这个是 某个模块的bug
猫叔邮箱多少 我发你个文件替过去看看


baohelin@yahoo.com.cn
gototop
 

回复: 瑞星的“木马行为防御”与“dating.exe”病毒PK



引用:
原帖由 newcenturymoon 于 2009-6-23 19:29:00 发表


引用:
原帖由 baohe 于 2009-6-23 17:42:00 发表
[quote] 原帖由 newcenturymoon 于 2009-6-23 17:32:00 发表
这个是 某个模块的bug
猫叔邮箱多少 我发你个文件替过去看看


[email=baohelin@yahoo.com.cn]baohelin@yahoo.co


将你发来的rslog.dll覆盖瑞星2010安装目录下的rslog.dll,再运行病毒dating.exe。还是挡不住。









gototop
 

回复:瑞星的“木马行为防御”与“dating.exe”病毒PK

这样才能灭掉dating.exe的进程:

1、用IceSword禁止进程创建。
2、结束病毒进程baohelin.exe以及那几个高PID号的svchost.exe进程。
gototop
 

回复: 瑞星的“木马行为防御”与“dating.exe”病毒PK



引用:
原帖由 newcenturymoon 于 2009-6-23 21:05:00 发表
请猫叔把样本发上来吧   


样本在:http://bbs.ikaka.com/showtopic-8635254.aspx
gototop
 

回复: 瑞星的“木马行为防御”与“dating.exe”病毒PK



引用:
原帖由 DoctorLc 于 2009-6-24 16:30:00 发表
猫叔,那个工具的下载地址能给一个吗?  



哪个工具啊?
gototop
 

回复: 瑞星的“木马行为防御”与“dating.exe”病毒PK



引用:
原帖由 DoctorLc 于 2009-6-24 16:35:00 发表


引用:
原帖由 baohe 于 2009-6-24 16:32:00 发表


引用:
原帖由 DoctorLc 于 2009-6-24 16:30:00 发表
猫叔,那个工具的下载地址能给一个吗?  



哪个工具啊?


那个activity monitor啊!



那是Tiny防火墙的一部分。

这个防火墙2005年就死掉了(被人收购后再无更新)。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT