发现 疑似 过 “温馨规则”的病毒一枚。。。。。。

f176712667

sanhu35 发表于 2011-7-3 08:13
你是说日志过来 还是除日志以外的啥也没拦截到？

除日志外  无任何拦截提示

sanhu35

f176712667 发表于 2011-7-3 08:54
除日志外  无任何拦截提示

那你中毒没有

accordion

好吧~~~

楼主得先回答：你是通过什么方式使程序运行到沙盘中

是直接用沙盘打开资源管理器，然后点开程序的吗？

accordion

其次，这个“病毒”是一个htm，
1.所以说打开网页是正常的

准确的来说应该是通过网页的方式下载病毒，也就是说是网马

而网马的原理，要不就是把实体下载到某个地方，然后通过JS什么的打开

而我观察到温馨规则里面的浏览器的保护文件整体询问，然后往下寻找，找到“程序规则”是允许修改缓存和临时文件（由于是*开头，所以可以修改沙盘）。

2.所以说，红伞报的完全是沙盘里的尸体

就好像炸弹你不引爆不会有事，轮胎你不给打气不会爆炸一样，网马运行也是需要执行者，这个执行者是浏览器，根据规则强度，是不能打开的病毒，即使是允许了run32.exe，病毒下载了一个动态链接库，但是run32.exe规则也不足以伤害到你的电脑

3.所以说，这玩意过温馨规则是扯蛋


至于说注册表，还是等你回答了我那个问题先

f176712667

accordion 发表于 2011-7-3 10:28
好吧~~~

楼主得先回答：你是通过什么方式使程序运行到沙盘中

我右击文件  选择沙盘运行。。

f176712667

accordion 发表于 2011-7-3 10:43
其次，这个“病毒”是一个htm，
1.所以说打开网页是正常的

不像是下载病毒，因为打开的网页明显是个文件而不是网址。。。

f176712667

accordion 发表于 2011-7-3 10:43
其次，这个“病毒”是一个htm，
1.所以说打开网页是正常的

不像是下载病毒，因为打开的网页明显是个文件而不是网址（虽然是用浏览器打开的）。。。网页格式不一定只是下载文件和链接网站那么简单  你对网页文件理解过于狭窄

f176712667

sanhu35 发表于 2011-7-3 10:08
那你中毒没有

呵呵  我想如果我在不开杀软和分析工具的情况下一眼就看出中不中毒  貌似有难度。。。

accordion

f176712667 发表于 2011-7-3 11:09
不像是下载病毒，因为打开的网页明显是个文件而不是网址（虽然是用浏览器打开的）。。。网页格式不一定 ...

....

对，没错，这个不是真正的htm（是个执行程序，用记事本打开就知道）

但是有什么关系呢？它被浏览器打开，就会被浏览器执行，所以说执行主体还是浏览器

既然它能被浏览器执行，那么肯定有某个代码是可以”把病毒“下载”到某个地方（这里说的“下载”不是那个意思啦）

accordion

f176712667 发表于 2011-7-3 11:07
我右击文件  选择沙盘运行。。

哦哦~~

其实我这里右键点一下快捷方式也会有类似情况~~

应该和中毒扯不上关系，是啥关系我也不知道，应该是毛豆的问题