喷下微点主动防御

vm001

wqcaokeyinwq 发表于 2012-12-12 18:37
楼主用图文并茂的形式。。。。。详细的测试了微点。。。。。

得出如下结论.....微点虽然拦截了。 ...

对这个木马的工作你完全不了解，那个释放的动态链接库文件不用微点去删除，木马自己就会去删除，
此木马的工作简单可以分为这样，游戏快捷方式指向百度文件（白加黑）这个文件被激活文件去加载一个说明为百度的dlll，这个dll也是白文件，但是他的导入表被修改过，指向了释放到system32下的黑dll，然后去注册表写服务，同时释放服务对应的动态链接库病毒文件，加载成功以后，删除自身躲避杀软查杀，然后在服务退出和关机的时候再次释放文件等待下次运行加载------而且文件是随机命名

解释完毕-----看来你还得学习啊

vm001

√×√×√√× 发表于 2012-12-12 19:20
囧，这么热心的话可以试试我这个一个月前的老样本 http://bbs.kafan.cn/thread-1402084-1-1.html ...

看我21楼回复他，dll不做处理就测试

wqcaokeyinwq

vm001 发表于 2012-12-12 21:13
对这个木马的工作你完全不了解，那个释放的动态链接库文件不用微点去删除，木马自己就会去删除，
此木马 ...

他是怎么工作的。。我不想知道。。。。

服务退出和关机的时候。。。他的服务没有再次成功加载。。。。也没有指向黑客地址。。。。

vm001

wqcaokeyinwq 发表于 2012-12-12 21:15
他是怎么工作的。。我不想知道。。。。

服务退出和关机的时候。。。他的服务没有再次成功加载。。。。 ...

用xuetr去看就知道为什么你那里没出现了----不是微点拦截住了，而是....自己看吧，如果理解不了我没办法了

wqcaokeyinwq

vm001 发表于 2012-12-12 21:18
用xuetr去看就知道为什么你那里没出现了----不是微点拦截住了，而是....自己看吧，如果理解不了我没办法了 ...

你为什么总在顾左右而言其他。。。。。

不管他是怎么工作。。。不管他是如何隐藏。。。。

最终的结果就是。；。。杀掉后。。。重启。。木马服务被删除了。。。黑客地址也被废掉了。。。

到底是我不明白。。。还是你装糊涂

潘中医

wqcaokeyinwq 发表于 2012-12-12 18:48
别的木马不敢说。。。。。这个微点是可以秒掉的。

这个木马显然每次运行。。都有不同的动作。。。

8M的木马堪比火焰

wqcaokeyinwq

潘中医 发表于 2012-12-12 21:44
8M的木马堪比火焰

正常的游戏包是8M多。。。

你理解错了。。

wqcaokeyinwq

潘中医 发表于 2012-12-12 21:44
8M的木马堪比火焰

对了。。再多说一句。。

火绒无法防御这个样本。。。。


双击后。。。就弹了一个什么HIV文件导入。。。阻止后。。。。。弹了一个正常的网络链接。。。


然后。。。木马服务被加载。。。。有SVORE.EXE链接到黑客地址。。。。

qwer9909

wqcaokeyinwq 发表于 2012-12-12 18:37
楼主用图文并茂的形式。。。。。详细的测试了微点。。。。。

得出如下结论.....微点虽然拦截了。 ...

实机哥v5。。。。。。。

潘中医

wqcaokeyinwq 发表于 2012-12-12 21:53
对了。。再多说一句。。

火绒无法防御这个样本。。。。

这个游戏到底是啥啊