查看: 5782|回复: 19
收起左侧

[讨论] AVE引擎成功修复一例

[复制链接]
leisong
发表于 2011-11-26 19:26:34 | 显示全部楼层 |阅读模式
360的AVE引擎主要用来检测并修复感染型病毒,今日样本2-11是被感染的一个样本,360扫描显示启发式引擎就是AVE引擎,下图为检测截图及修复前的大小



病毒处理默认为修复,修复后变小


下面的运行测试才是重点
删除AVE引擎,运行云QVM又报毒,


再将QVM删掉测试动作,360云主防直接杀掉衍生物


关掉360再测,MD记录动作如下:

2011-11-26 19:09:23    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\ttk\libai2-11.exe
命令行: "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:09:26    创建文件    允许
进程: e:\ttk\libai2-11.exe
目标: C:\WINDOWS\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-11-26 19:09:40    创建新进程    允许
进程: e:\ttk\libai2-11.exe
目标: c:\windows\svchost.exe
命令行: "C:\WINDOWS\svchost.exe" "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:09:47    修改文件    允许
进程: c:\windows\svchost.exe
目标: E:\TTK\libai2-11.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-26 19:09:49    创建新进程    允许
进程: c:\windows\svchost.exe
目标: e:\ttk\libai2-11.exe
命令行: "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:10:13    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-11-26 19:10:33    修改文件    阻止并结束进程
进程: c:\windows\svchost.exe
目标: C:\Documents and Settings\Administrator\Application Data\360inst\360inst_89\360Inst_89.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

-----------------------
修复后的该样本,再次运行,已经没有不规矩的动作了,也没触发360的主防,变成一个正常的FLASH播放器,成功修复。

2011-11-26 19:10:57    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\ttk\复件 libai2-11.exe
命令行: "E:\TTK\复件 libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:11:05    修改注册表值    允许
进程: e:\ttk\复件 libai2-11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ShockwaveFlash.ShockwaveFlash\shell\open\command
值: E:\TTK\复件 libai2-11.exe %1
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +3 人气 +1 收起 理由
七宝 + 3 版区有你更精彩: )
jefffire + 1 加分鼓励

查看全部评分

貝殼
发表于 2011-11-26 19:29:36 | 显示全部楼层
最終修好了不?
jefffire
头像被屏蔽
发表于 2011-11-26 20:39:27 | 显示全部楼层
修复一次不容易
xiaoicao886
发表于 2011-11-26 20:41:08 | 显示全部楼层
AVE 发威了啊、
qianyuqx
头像被屏蔽
发表于 2011-11-26 21:03:26 | 显示全部楼层
本帖最后由 qianyuqx 于 2011-11-26 21:03 编辑

是不是这样,AVE修复不完全,加上云主防彻底修复
不对,这样AVE修复是不是该按失败算?
leisong
 楼主| 发表于 2011-11-26 21:10:25 | 显示全部楼层
qianyuqx 发表于 2011-11-26 21:03
是不是这样,AVE修复不完全,加上云主防彻底修复
不对,这样AVE修复是不是该按失败算?

修复后正常了,不再触发云主防。
junyangxie
发表于 2011-11-26 21:19:04 | 显示全部楼层
如果用户关了主防,中了流行的病毒,ave还是很管用的。
FOXFFF
发表于 2011-11-26 21:21:47 | 显示全部楼层
AVE终于出面了....
青鸾
发表于 2011-11-26 22:04:51 | 显示全部楼层
给力啊
查理弗朗西斯
发表于 2011-11-26 22:16:23 | 显示全部楼层
说真的,这是我第一次看到AVE生效
至少我知道AVE还是有用的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 19:44 , Processed in 0.137436 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表