Trojan.Zeroaccess.C-把诺顿整得晕头转向的最新病毒资料原创翻译！

尘梦幽然

XMonster 发表于 2012-8-12 10:58
微点拦截这类都很轻松…

据ZeroAccess的更新历史来看，可以说是专门针对诺顿进行了免杀。
而且其利用了SONAR的漏洞，替换了系统文件，SONAR无法回滚。
如果是针对性免杀，哪款安软都防不住。

wjcharles

a256886572008 发表于 2012-8-12 10:33
註冊 CLSID 自啟動，這個動作，SONAR 不攔截？

不是新建註冊表，而是透過修改舊的註冊表，讓自己的dll 和 ...

sonar杀了，但利用多步主防的漏洞，已经成功替换系统文件（services.exe）,而sonar无法回滚这一系统文件，所以母体被杀无所谓了
在本例services.exe的衍生物也基本都杀了，导致不断报毒
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
被替换的services.exe 360卫士系统修复也发现不了，需要急救箱
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

本例母体sonar没杀，但services.exe的衍生物还是杀了，同样不断报毒，360卫士可以修复文件替换，npe提示需要系统安装盘
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

尘梦幽然

a256886572008 发表于 2012-8-12 10:49
5樓有寫出重要行為。

應該建議官方，讓 SONAR 保護 existed CLSID 註冊表 不被改。

12L更正了我的说法，请查看。

alskdjfhg

纯引用
“Payload
有效载荷
这是病毒发作时的恶意行为。不是所有的病毒都有有效载荷，但有一些执行破坏行为。
This is the malicious activity that the virus performs. Not all viruses have payloads, but there are some that perform destructive actions. ”
你可以参考这里http://www.ltesting.net/html/42/n-31842.html

尘梦幽然

alskdjfhg 发表于 2012-8-12 11:04
纯引用
“Payload
有效载荷

破坏行为和恶意行为有什么区别吗？

a256886572008

尘梦幽然 发表于 2012-8-12 10:59
据ZeroAccess的更新历史来看，可以说是专门针对诺顿进行了免杀。
而且其利用了SONAR的漏洞，替换了系统 ...

替換文件這動作，不管哪一款 實機回滾型，都很難修復。

靠沙盤攔截還比較方便有效。

尘梦幽然

a256886572008 发表于 2012-8-12 11:13
替換文件這動作，不管哪一款 實機回滾型，都很難修復。

靠沙盤攔截還比較方便有效。

SONAR也有沙盘，可惜这次没有生效。

蓝核

今天早上看的时候还是权限255……

alskdjfhg

尘梦幽然 发表于 2012-8-12 11:08
破坏行为和恶意行为有什么区别吗？

当然有

a256886572008

尘梦幽然 发表于 2012-8-12 11:13
SONAR也有沙盘，可惜这次没有生效。

策略限制，還是 重定向的？