【最后更新，已完美】这是一个Full Disk程序，小白点击就会在不知不觉中完蛋

hddu

2011-06-29 22:10:58    创建文件      操作:允许
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Program Files\system.bat
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2011-06-29 22:10:58    创建文件      操作:允许
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Program Files\System.vbs
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2011-06-29 22:10:58    创建文件      操作:允许
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Program Files\system.dat
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*


2011-06-29 22:10:58    运行应用程序      操作:允许
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Program Files\System.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-06-29 22:11:02    修改文件      操作:阻止
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\*


2011-06-29 22:11:05    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:07    修改文件      操作:阻止
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\*


2011-06-29 22:11:09    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:11    修改文件      操作:阻止
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\*


2011-06-29 22:11:13    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:14    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:15    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:16    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:16    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:17    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:20    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:21    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:22    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:24    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


2011-06-29 22:11:26    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system.dat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*


不停修改system.dat，只好人工结束进程。

blue_仰望

给力啊。

BHHZDQL

hddu 发表于 2011-6-29 22:12
2011-06-29 22:10:58    创建文件      操作:允许
进程路径:F:\virus\BEST\BEST.exe
文件路径:C:\Program ...

该样本的特色：
用HIPS的可能会点阻止点到虚脱

BHHZDQL

lniwn 发表于 2011-6-29 22:17
给力啊。

安全...
估计鉴定不是人鉴定的...
如果有人运行就不会安全了

BHHZDQL

卡毒_破晓 发表于 2011-6-29 21:47
诶呀。很简单的，无非就是替换了我系统文件嘛。  但是这东西 我系统文件都有保护的，你这样都想替换是不可能 ...

把C：\Windows里的文件目录源源不断写入System.dat，让C盘占用无限加大，和系统文件有神马关系？

BHHZDQL

sadfish5 发表于 2011-6-29 22:05
本人对代码不是狠了解。

猜应该是把C\Program Files目录下的文件名，不停写入system.dat

是把C:\Windows下的文件名

blue_仰望

BHHZDQL 发表于 2011-6-29 22:21
安全...
估计鉴定不是人鉴定的...
如果有人运行就不会安全了

如果想一直玩下去的话建议增强自保能力，因为现在一旦发现了很容易就kill掉了。

BHHZDQL

lniwn 发表于 2011-6-29 22:41
如果想一直玩下去的话建议增强自保能力，因为现在一旦发现了很容易就kill掉了。

增强进程自我保护能力？需要加载驱动不？

小富队长

sadfish5 发表于 2011-6-29 22:05
本人对代码不是狠了解。

猜应该是把C\Program Files目录下的文件名，不停写入system.dat

好吧 我解释一下
cls 是语法
color 05 即背景为黑色 字色为紫色
dir C:\Windows\>>%windir%\system.dat  输出文件到C盘 但速度慢 一般HIPS 都可阻止
goto dir 一直重复以上语法

blue_仰望

BHHZDQL 发表于 2011-6-29 22:42
增强进程自我保护能力？需要加载驱动不？

加驱自保这个有难度，就看楼主水平了。不过有个简单的方法，就是建立几个相互关联的进程，就像一般病毒一样，起码这样不会被随便一个人点几下鼠标就kill了。