也发个足球.exe运行效果，组图

fake5

虚拟机内运行，实体机请不要轻易运行！
虚拟机环境：
win7 x32 旗舰版  comodo firewall with d+
d+设置：




受保护文件设置：

运行后效果：

开始动c盘文件了，注意时间是19：57左右开始的


1个病毒运行起来遍历比较慢，同时运行了一百个的效果：

万恶的水印……

任务管理器里显示：

100个同时遍历，更慢了……

挨个结束——是用任务管理器的！任务管理器可以结束的！




重启后，文件未被修改



一点点总结：
1。该病毒可用任务管理器关闭，xp下未知
2。comodo应该是能防住的，起码几千次修改无一次起作用
3。病毒遍历的方向是特定的……
4。太浪费时间了，花了将近一个小时没看到0KB（在桌面上放了mp3文件的，重启之后都还在），测试失败
Edit：
5.18L为昨天测试时D+ 抽风的情况……今天重新测试了下，设置如上，只是改变sandbox限制级别时，都能防住！有意思的是：退出comodo还是能防住~呵呵
6。感谢柯林队长的怀疑，D+还是很强大的！

ppy0606

这货....

谁MD实机跑下啊

footman

幸好是虚拟机测试，不然你的视频、音乐等文件就完了。（FD那没全盘保护)

sanhu35

ppy0606 发表于 2011-11-25 20:59
这货....

谁MD实机跑下啊

。。。。楼主用的不信任级别 我的MD规则 不入组 可以达到类似的效果。
陌生程序先双击 不入组  点允许（病毒啥也干不了）  看看什么动作。
没危险就可以分组了。  

若病毒加入低、高限制组，此毒只能破坏 非可执行文件、非PF目录、临时目录和文件、未受保护的目录。
执行到某个地方病毒就 自动被秒杀了。。。

ppy0606

sanhu35 发表于 2011-11-25 21:06
。。。。楼主用的不信任级别 我的MD规则 不入组 可以达到类似的效果。
陌生程序先双击 不入组  点允许 ...

好思路

fake5

footman 发表于 2011-11-25 21:01
幸好是虚拟机测试，不然你的视频、音乐等文件就完了。（FD那没全盘保护)

桌面上的mp3 文件没受到影响……

sanhu35

ppy0606 发表于 2011-11-25 21:12
好思路

重新编辑

solstice1988

ppy0606 发表于 2011-11-25 21:12
好思路

乃不是对乃的MD规则很有信心么，怎么不敢拿MD测试呢？

wenjuner

探索精神很值得学习哦~~现在XP和7下的效果都有图有真相了，期待安全厂商速度推出完美查杀和修复方案~

solstice1988

fake5 发表于 2011-11-25 21:13
桌面上的mp3 文件没受到影响……

能试试低一点的级别么？我想知道什么样的级别下病毒会造成实质性的影响