研究研究这个病毒都执行了什么操作

夜ㄝ殇

费尔kill INF.Autorun.f

vm001

老机子 发表于 2012-12-2 20:34
我是双击刚才直接让毒霸哎呦！

这是毒霸自身稳定性问题或者和说你装的东西太多了，和病毒无关，暴风1号病毒又不会去攻击杀软

a256886572008

老机子 发表于 2012-12-2 20:26
不单完美通过，是完美攻击毒霸！

從圖中，我是看不出金山被攻擊。

反而，只看到火線不信任金山而已。

无欲则刚吗

vm001 发表于 2012-12-2 20:28
看你就没运行，这个一步也过不了金山毒霸

确实没运行，右键扫的，连红伞引擎一起过了

老机子

a256886572008 发表于 2012-12-2 20:50
從圖中，我是看不出金山被攻擊。

反而，只看到火線不信任金山而已。

呵呵，我已上报！看看官方反映！

老机子

vm001 发表于 2012-12-2 20:48
这是毒霸自身稳定性问题或者和说你装的东西太多了，和病毒无关，暴风1号病毒又不会去攻击杀软

我装得多，到不怕！因为这么长时间，还没见把我系统干倒的！

a256886572008

老机子 发表于 2012-12-2 20:57
呵呵，我已上报！看看官方反映！

話說，360怎麼和手動HIPS一樣彈窗，而不是和 comodo 一樣自動阻止？

注：我在26樓發的日誌，comodo 沒有彈窗 (不管是V6或V5)。

Candygu

a256886572008 发表于 2012-12-2 19:54
comodo 有命令行檢測功能，能分離出正常與惡意的wscript.exe進程。

向你请教一个问题，comodo能单独为磁盘根目录设置保护规则么？
也就是说，不让程序在磁盘根目录新建文件，貌似现在的办法只能表示成这样 E:\*|

被限制为partially limited之后，会在磁盘根目录下
1) 将所有文件夹隐藏
2) 创建被隐藏的文件夹的同名快捷方式，命名行执行新建的.vbs文件
3) 在根目录下建一个.vbs文件和autorun.inf文件

有什么好的方式对付这种样本？

a256886572008

Candygu 发表于 2012-12-2 22:19
向你请教一个问题，comodo能单独为磁盘根目录设置保护规则么？
也就是说，不让程序在磁盘根目录新建文件 ...

如果不喜歡 1 2 3 這3個動作，請把 sandbox level 調高成 limited 即可。

這個level，會禁讀磁盤根目錄，V6 新功能。

然後，HIPS攔截訪問磁盤就有，BB則時要調到limited以上才有。

Candygu

a256886572008 发表于 2012-12-2 23:15
如果不喜歡 1 2 3 這3個動作，請把 sandbox level 調高成 limited 即可。

這個level，會禁讀磁盤根目錄 ...

调到limited可以了