唉，确认SD 275被穿透，有样本。

显示全部楼层 · 发表于 2008-11-5 12:59:10

本帖最后由 107 于 2010-12-21 21:23 编辑

中午在和同事吹牛，说SD可以防病毒穿透。
于是拿个虚拟机，XP SP2系统给他演示……他看了下，说SD仅靠这样是防不住穿透的。

我不信，找了个10月26日从网站抓的样本……运行，一重启发觉userinit.exe被穿透。

http://www.oiuytr.net/new/a153.css
http://www.oiuytr.net/new/a220.css
http://www.oiuytr.net/new/a279.css

下载过来，改名成exe运行。这些样本目前都能被杀毒软件查到，所以不要太惊慌。

userinit.exe被修改，下载过来大量木马。

某位热心版友做的SD和RVS测试用的样本都是9月份前的。测试不够充分。

[ 本帖最后由 ndd200 于 2008-11-6 08:56 编辑 ]

显示全部楼层 · 发表于 2008-11-5 13:02:53

楼主你提供的地址不能下载//。。。。。。请把样本上传到论坛！

显示全部楼层 · 发表于 2008-11-5 13:03:51

原帖由 woods12345 于 2008-11-5 13:02 发表
楼主你提供的地址不能下载//。。。。。。请把样本上传到论坛！

右键另存为。

显示全部楼层 · 发表于 2008-11-5 13:09:11

你最好自己看看能不能下载。。。。。。。我这里是下不了的

最好样本连同你的测试过程全部发上来！！！

[ 本帖最后由 woods12345 于 2008-11-5 13:12 编辑 ]

显示全部楼层 · 发表于 2008-11-5 13:13:12

楼主给的链接opera可以打开，并有病毒下载，观察中。。。

显示全部楼层 · 发表于 2008-11-5 13:13:25

原帖由 ndd200 于 2008-11-5 12:59 发表
中午在和同事吹牛，说SD可以防病毒穿透。
于是拿个虚拟机，XP SP2系统给他演示……他看了下，说SD仅靠这样是防不住穿透的。

我不信，找了个10月26日从网站抓的样本……运行，一重启发觉userinit.exe被穿透 ...

还有我测试的样本是1月到8月的你自己看截图看清楚点//。。。。。。还有样本不分早晚对于网吧而言这段时间是没有发生频繁的穿透时间了，最近我网吧发现有2台机器被穿样本也抓到了，测试RVS的时候已经用到。还有网吧也不会去装什么杀毒软件，楼主可能不了解穿透类型的病毒导致针对的是哪里吧？

[ 本帖最后由 woods12345 于 2008-11-5 13:15 编辑 ]

显示全部楼层 · 发表于 2008-11-5 13:13:54

nod报的
时间模块对象名称病毒操作用户名称信息
2008-11-5 13:12:00 IMON 文件 http://www.oiuytr.net/new/a153.css 可能是 Win32/Genetik 木马的一个变种 ADMIN\Administrator

显示全部楼层 · 发表于 2008-11-5 13:15:46

能够下载但很慢..lz不妨传上来吧

显示全部楼层 · 发表于 2008-11-5 13:16:42

晕死。你的样本我有是8月的！！！！。这个样本我测试的时候是没有穿透SD！·请把你的测试过程全部发上来。

显示全部楼层 · 发表于 2008-11-5 13:17:39

嗯，不好意思是我看错了。“测试样本主要来源08年半年多在网吧收集的机器狗每天的变种的样本”，看了这句以为是到6月。

不过这个样本是我上个月抓的。10月份的。

如果你在网吧，可能你用的Hosts文件里已经有这个网址了，所以无法访问。

据说这个样本过了10月26日EAV，我也是看到有人在NOD32区发帖才找到的。但是28日的时候测试，NOD32已经可以查杀了。

[讨论] 唉，确认SD 275被穿透，有样本。