运行伪装文本的样本后。。。

显示全部楼层 · 发表于 2010-11-12 18:19:42

样本连接地址：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=839651&extra=

运行样本后
未命名1.JPG

用eq结束360safes.exe...系统自动重启。。。悲剧来啦

未命名4.JPG

能通过的数字签名验证，都通不过。。。

真的搞不清原来能通过数字签名验证的！运行样本后通不过！。。。？！

原因尚未查出。。。？！

大家帮我查出原因吧

显示全部楼层 · 发表于 2010-11-12 18:33:39

估计是破坏了windows数字签名验证的功能文件。。

显示全部楼层 · 发表于 2010-11-12 18:38:13

回复 2楼找不到新用户名的帖子

windows数字签名验证的功能文件...是什么？！

若被破坏的话，应该任何文件都通不过。。。是不是这样呢？！

显示全部楼层 · 发表于 2010-11-12 19:21:35

应该是破坏了windows数字签名验证的功能

百度关于windows数字签名验证的功能，应该可以找到些东西，包括相关服务的异常停止，相关文件的破坏甚至删除等。

显示全部楼层 · 发表于 2010-11-12 19:51:30

很奇特的现象，重启或者安全模式是否也是这样？

百度只搜到这个：
开始→运行对话框键入“sigverif”命令打开“文件签名验证”窗口
http://hi.baidu.com/xutianruo/bl ... 3be6ddb7fd4816.html

显示全部楼层 · 发表于 2010-11-12 20:09:40

本帖最后由 liulangzhecgr 于 2010-11-12 20:27 编辑

tawny2008 发表于 2010-11-12 19:51
很奇特的现象，重启或者安全模式是否也是这样？

百度只搜到这个：

按照天月小姐的提示正在查阅。。。！谢谢！

“文件已破坏”的系统提示指什么呢？！
运行样本-->系统提示“文件已破坏”-->继续运行360safes.exe-->有此进程，无后续的行为。。。

重启系统后。。。未通过数字签名验证文件增加之外，无可疑的进程及插件！
对比文件快照也是！刚开始以为中感染性病毒呢(感染xt，文件对比。。。）？！

显示全部楼层 · 发表于 2010-11-12 20:15:48

liulangzhecgr 发表于 2010-11-12 20:09
按照天月小姐的提示正在查阅。。。！谢谢！

“文件已破坏”的系统提示指什么呢？！

虚拟机不阻止病毒，运行了一下，没发现签名不通过的现象，XUETR0.31，等下重启看看

显示全部楼层 · 发表于 2010-11-12 20:23:13

我这边结束病毒进程后并不会自动重启，手动重启也无法重现楼主的现象，等高手解答

显示全部楼层 · 发表于 2010-11-12 20:30:11

本帖最后由 liulangzhecgr 于 2010-11-12 20:31 编辑

回复 8楼 tawny2008 的帖子

有这个“文件已破坏”提示吗？！
我运行两次，两次都出现！
一次是eq下运行！另外一次是关闭eq下运行！

显示全部楼层 · 发表于 2010-11-12 20:31:56

liulangzhecgr 发表于 2010-11-12 20:30
回复 8楼 tawny2008 的帖子

有这个“文件已破坏”提示吗？！

有，估计只是一个假提示，制作这种弹窗很容易

[求助] 运行伪装文本的样本后。。。

评分