过所有杀软扫描（微点注册表保护全开能部分拦截）的修改主页病毒

killerwhale

哇哈哈   今天由于微点测试的需要去下了个sp3的系统
大家也知道嘛   最近很多下载站都河蟹了
所以我就冒着巨大的风险去迅雷上下了    顺便先抓点好玩的东东
果然不出我所料   果然抓住鸟   如图  仔细观察一下是声卡驱动图标   再看看所在文件夹   再看看文件名……    msconfig竟然跟声卡驱动联系在一起（我真佩服作者的想象力）    这东东也太不会隐藏自己了

HIPS运行之后发现病毒是通过注册表强行修改IE主页为wwXXw.go2000.cn（当然你想直接通过修改IE选项改回来那是做梦）   并且顺便释放了几个网页到收藏夹下（在此顺便怀着诚挚的心情问候go2000站长的母亲）
微点的主防直接miss          为了测试微点注册表保护那个我从来不用功能    本人进行了如下测试
由于sp3系统还没清理完   可能还有其他好东西   我就把那个东东弄到测试用的sp2的干净系统下
原来主页就是卡饭扫描区见图


微点保护全开




主角登场


运行之后  微点弹出提示框   然后点阻止（废话）    别以为到此结束  


但是微点令我很失望    无论是注册表保护还是注册表锁定MS都只是个花架子    不知道是微点注册表保护的bug还是怎么回事
单步动作的果然有过智能主防的天生优势   希望微点官方注意这个问题    微点还是需要不断完善滴~~~~~~~~



附样本区链接（一开始忘了  谢谢polly提醒哈）   欢迎大家下载玩玩   解压密码：kafan
PS：本样本同时上报微点官方和XE的DZ
http://bbs.kafan.cn/viewthread.php?tid=312107&extra=page%3D1&frombbs=1
VirSCAN.org Scanned Report :
Scanned time   : 2008/08/22 16:19:28 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name      : msconfig.exe
File Size      : 270457 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 66f6da5dc11bd99d15bfea50ac710a2e
SHA1           : c0b915680b2f4486fda3b14d3eccb01eeb56997d
Online report  : http://virscan.org/report/28fbfd3f74ea842cc9eebb742909a9ec.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.08.21        2008-08-21  3.16   -
安博士V3       2008.08.22.01   2008.08.22        2008-08-22  0.95   -
AntiVir        7.8.1.23        7.0.6.52          2008-08-22  2.30   -
Arcavir        1.0.5           200808211436      2008-08-21  1.40   -
AVAST!         3.0.1           080821-0          2008-08-21  0.06   -
AVG            7.5.51.442      270.6.6/1626      2008-08-21  1.58   -
BitDefender    7.60825.1571632 7.20620           2008-08-22  2.85   -
CA (VET)       9.0.0.143       31.6.6040         2008-08-22  5.36   -
ClamAV         0.93.3          8070              2008-08-22  0.25   -
Comodo         2.11            2.0.0.624         2008-08-22  0.43   -
CP Secure      1.1.0.715       2008.08.21        2008-08-21  6.34   -
Dr.Web         4.44.0.9170     2008.08.22        2008-08-22  4.10   -
ewido          4.0.0.2         2008.08.21        2008-08-21  2.49   -
F-Prot         4.4.4.56        20080821          2008-08-21  1.05   -
F-Secure       5.51.6100       2008.08.21.09     2008-08-21  0.26   -
飞塔           2.81-3.11       9.458             2008-08-22  2.05   -
ViRobot        20080821        2008.08.21        2008-08-21  0.48   -
Ikarus         T3.1.01.34      2008.08.22.71322  2008-08-22  3.56   -
江民杀毒       11.0.706        2008.08.22        2008-08-22  1.20   -
卡巴斯基       5.5.10          2008.08.22        2008-08-22  0.20   -
金山毒霸       2008.1.14.15    2008.8.22.14      2008-08-22  0.70   -
迈克菲         5.2.00          5367              2008-08-21  2.69   -
Microsoft      1.3807          2008.08.21        2008-08-21  4.56   -
mks_vir        2.01            2008.08.19        2008-08-19  2.76   -
Norman         5.93.01         5.93.00           2008-08-21  5.81   -
熊猫卫士       9.05.01         2008.08.21        2008-08-21  2.10   -
趋势科技       8.700-1004      5.494.03          2008-08-21  0.05   -
Quick Heal     9.50            2008.08.21        2008-08-21  1.73   -
瑞星           20.0            20.58.40.00       2008-08-22  0.99   -
Sophos         2.77.0          4.32              2008-08-22  2.06   -
Sunbelt        3.1.1571.1      2200              2008-08-21  0.82   -
赛门铁克       1.3.0.24        20080821.017      2008-08-21  0.18   -
nProtect       2008-08-22.00   1909009           2008-08-22  3.84   -
The Hacker     6.3.0.6         v00058            2008-08-21  0.49   -
VBA32          3.12.8.4        20080821.1126     2008-08-21  1.22   -
VirusBuster    4.5.11.10       10.84.7/598356    2008-08-21  1.39   -

[ 本帖最后由 killerwhale 于 2008-8-22 17:07 编辑 ]

killerwhale

自己的sf自己坐    不给syfwxmh机会

[ 本帖最后由 killerwhale 于 2008-8-22 14:58 编辑 ]

忧郁浪子

对于这些站长我深表遗憾并强烈谴责

polly5771

测试很辛苦。感谢LZ的努力！！

[ 本帖最后由 polly5771 于 2008-8-22 16:17 编辑 ]

忧郁浪子

原帖由 polly5771 于 2008-8-22 15:06 发表
不要发病毒包

哪位来核对一下？？

我就不了…… 大家慢慢试

lonelyive

什么也不说，看图










是不是病毒不知道，反正，我这被保护的东西都没有被修改

补充一下：桌面的ie快捷方式是我从开始菜单里拖出来的，不是病毒释放的……，谢谢楼主提醒，我都没注意这个问题！

[ 本帖最后由 lonelyive 于 2008-8-22 18:29 编辑 ]

killerwhale

我没大看明白你的话
你的意思是病毒通过注册表改主页的行为被拦截了   但是那个病毒修改了桌面和快速启动栏的IE快捷方式   在后面加上了自己的网址的命令    是那个行为过了微点
所以主页其实没被改    被改的只是快捷方式   
因为我确实是用桌面（而非开始菜单）的快捷方式启动的IE    发现启动的是go2000    所以我被这表象骗了   以为是修改主页那一步微点miss了？

[ 本帖最后由 killerwhale 于 2008-8-22 16:07 编辑 ]

微点卫士

用腾讯TT的飘过

忧郁浪子

原帖由 killerwhale 于 2008-8-22 15:52 发表
我没大看明白你的话
你的意思是病毒通过注册表改主页的行为被拦截了   但是那个病毒修改了桌面和快速启动栏的IE快捷方式   在后面加上了自己的网址的命令    是那个行为过了微点
所以主页其实没被改    被改的只是 ...

按照图里看应该是。建议那位朋友看看快捷方式里的内容
然后您看看注册表里的主页有没有被改，或者从文件夹里直接运行ie本身试试

killerwhale

谢谢6楼的提醒
=会我再试试好了    应该是我错了
但是我觉得即使确实是按照你说的那样……   微点的拦截算成功吗？（注册表拦截是成功的  主防还是有待改进吧）
因为确实很少人像你这样心思缜密……   像我一样的俗人绝对认为是微点拦截失败了   
谢谢你了   以后多指教

[ 本帖最后由 killerwhale 于 2008-8-22 16:04 编辑 ]