微软:发现会自动关闭UAC的恶意软件

hj5abc

之前遇到一个样本会通过Print Spooler的COM来利用spoolsv.exe加载服务

当时我开了UAC运行该样本，没有提权窗口，但是用Process Explorer看到该样本的一个衍生物进程被svchost --> taskeng调用，并且Intergrity为System..

星空可以看看：http://bbs.kafan.cn/thread-1040296-1-1.html，我是想知道该样本怎么获得system权限的，仅仅通过打印机的COM接口，这也太..

cherry845

星空下的吻 发表于 2011-8-6 20:07
不可能的,IE9多少用户都是这么用的,你具体说说情况,看看能不能帮你解决一下

算了吧，我觉得目前这样挺不错的，对UAC有心理阴影了。我现在是AVAST企业版+MSE+金山卫士+IE9,感觉已经够安全了，不定期用WINDOWS清理助手绿色版、MALWAREBYTES等工具扫描一下，再加我对电脑有一定认识，如果这样都防不住，估计挂的人也不止我一个了，呵呵，不过还是要谢谢你的好意。

The EQs

微软说的这个蠕虫其实有多种行为，看报告里面有的是TDSS，有的是Kolab，还有Autorun

星空下的吻

hj5abc 发表于 2011-8-6 20:09
之前遇到一个样本会通过Print Spooler的COM来利用spoolsv.exe加载服务

当时我开了UAC运行该样本，没有提 ...

看了一下,不知道是不是你自己级别设置的有问题;
这是一个典型的TDL-4,通过释放打印机驱动,试图绕过一般的驱动加载防御,但是UAC仍然可以完美防御;
运行之后会有数个黄色未知弹窗,全部拒绝,就可以完美防御,不存在被过的问题

hj5abc

星空下的吻 发表于 2011-8-6 20:27
看了一下,不知道是不是你自己级别设置的有问题;
这是一个典型的TDL-4,通过释放打印机驱动,试图绕过一般的 ...

你的是默认级别？

星空下的吻

hj5abc 发表于 2011-8-6 21:03
你的是默认级别？

是的,注意:默认级别和最高级别无差别

hj5abc

星空下的吻 发表于 2011-8-6 21:06
是的,注意:默认级别和最高级别无差别

但即便是无安全桌面级别，加驱这种高权限操作也可以防御的啊..
这个病毒本体运行后是低权限的，但是其衍生物进程setupXXX可以获得system权限...我这里不知是不是防御了，XueTr没有检测到什么可疑加载项  

紫云英

b081517954sfz 发表于 2011-8-6 10:32
虽然UAC不错，可是我一安装W7也是第一时间KILL它

那个的确烦躁人，我也早关了。

星空下的吻

hj5abc 发表于 2011-8-6 21:07
但即便是无安全桌面级别，加驱这种高权限操作也可以防御的啊..
这个病毒本体运行后是低权限的，但是其衍 ...

总之我的是完美防御

hj5abc

星空下的吻 发表于 2011-8-6 21:13
总之我的是完美防御

可以用Process Explorer看看

我设为默认级别，有黄色窗口提示衍生物进程试图修改系统，我拒绝后

可以在Process Explorer看到该进程已经是system进程，但似乎并没有造成危害..

对了，打印机服务禁用后spoolsv没有出现，而设为手动的话是可以看到出现的