NIS2011的IPS终于被穿了

显示全部楼层 · 发表于 2011-6-20 12:43:08

本帖最后由 wjcharles 于 2011-6-20 15:51 编辑

应该是这个帖子里的网站，现在已失效http://bbs.kafan.cn/forum.php?mo ... &extra=#pid19713083(不是这个，见16L)，也有可能是这个http://bbs.kafan.cn/forum.php?mo ... 6orderby%3Ddateline
傲游内存占用瞬间达400-600M，期间cpu占用40+%，一个swf实时防护杀，另一个已运行的大约15分钟后sonar杀（没有回滚，貌似没有造成实机修改）

完整路径: c:\users\wjch\appdata\local\microsoft\windows\temporary internet files\content.ie5\p39tvm8s\nb[1].swf
____________________________
____________________________
在电脑上的创建时间:
2011/6/20 ( 1:56:52 )
上次使用时间:
2011/6/20 ( 1:56:52 )
启动项:
否
已启动:
否
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
来源
下载自 URL 不可用

____________________________
文件操作
文件: c:\users\wjch\appdata\local\microsoft\windows\temporary internet files\content.ie5\p39tvm8s\nb[1].swf
已阻止
____________________________
文件指纹 - SHA:
7befa93d500dec36cb4bfe7ee1cdeb183f73e95f3f172a3264b8c11dd1dd33ba
____________________________
文件指纹 - MD5:
d0de9ad12f730cf2ee6849f81e2a35ad
____________________________

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011/6/20 ( 1:56:41 )
上次使用时间:
2011/6/20 ( 1:56:41 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用

源文件:
mxinstall.exe
创建的文件:
maxthon.exe
创建的文件:
scvhost.exe
____________________________
文件操作
文件: c:\users\wjch\appdata\local\temp\scvhost.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by c:\users\wjch\appdata\local\temp\scvhost.exe, PID:9032)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2011-6-20 12:46:03

MSE是完美杀之

显示全部楼层 · 发表于 2011-6-20 12:56:52

终于被穿了，好在穿了后还能干掉……

显示全部楼层 · 发表于 2011-6-20 12:59:48

能杀掉就好...

显示全部楼层 · 发表于 2011-6-20 13:03:39

这就是多重防御的好处

显示全部楼层 · 发表于 2011-6-20 13:30:19

本帖最后由 zhilu 于 2011-6-20 13:50 编辑

nb[1].swf
flash病毒，无所谓穿不穿IPS，说绕过更为合理。.swf是flash文件扩展名，当装有flash插件的浏览器打开网页，会自动加载网页上的swf播放，要么你就禁用flash。而且病毒名字取的nb[1]（牛逼1号

），让sonar出面也合情合理

显示全部楼层 · 发表于 2011-6-20 13:31:44

这病毒名字起得有才

显示全部楼层 · 发表于 2011-6-20 13:40:05

杀毒很猛发表于 2011-6-20 13:31
这病毒名字起得有才

你的头像更有才。我也用的NIS

显示全部楼层 · 发表于 2011-6-20 13:50:16

能干掉就好

显示全部楼层 · 发表于 2011-6-20 13:53:25

本帖最后由 wjcharles 于 2011-6-20 13:58 编辑

zhilu 发表于 2011-6-20 13:30
nb[1].swf
flash病毒，无所谓穿不穿IPS，说绕过更为合理。.swf是flash文件扩展名，当装有flash插件的浏览器 ...

ips本来就是拦截有漏洞利用代码的网络通信，没装flash插件理论上照样要拦截，像那个swf这样到达本地才杀已经算被穿了
另外那个swf既然被实时防护杀了应该不会有什么问题；关键是看下面的sonar记录，傲游释放的svchost已经运行了，也就是说有程序拿到了运行的权限，与缓存中静态的病毒布可同日而语

[讨论] NIS2011的IPS终于被穿了