bypass微点预升级测试版的rootkit 附样本

Nblock

微点达人就是牛啊   这种类型的rootkit过不了真正的微点！

微点可以主动防御这支rootkit  完美的拦截处理 放样本出来吧  你们的预升级版微点零件太弱防不住 不用测啦

发现微点特别喜欢示弱 强悍的版本就是要一点一点点慢慢放出来 害我白着急啊


预升级的微点：




[ 本帖最后由 Nblock 于 2007-10-27 10:33 编辑 ]

kkgh

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.DL.Win32.Agent.ztk

用户来源：互联网

dyw1021

C:\Documents and Settings\Administrator\桌面\file.rar
  [0] Archive type: RAR
  --> file.exe
      [DETECTION] Is the Trojan horse TR/Clicker.AFS
      [INFO]      The file was moved to '478ea245.qua'!

风野胤

似乎是重复样本。。。。。。。

Nblock

原帖由 风野胤 于 2007-10-27 10:30 发表
似乎是重复样本。。。。。。。

被重复了

[ 本帖最后由 Nblock 于 2007-10-27 10:38 编辑 ]

风野胤

http://bbs.kafan.cn/redirect.php ... 1951545&ptid=148028

哦
看到你的MD5了
一样的
重复样本

a256886572008

昨天過微點的是這隻嗎

還有，IP6FW.SYS是正常的文件吧！

為何要刪掉

[ 本帖最后由 a256886572008 于 2007-10-27 11:19 编辑 ]

kns8028

微点测试版被轰的五体投地倒地不起,今天再测已经加入特征杀...........小失望

TF拦截后cpu使用率飙高.....没出现那两个隐藏进程但怀疑没完全拦截.

最近刚用的DW以非信任运行.....因为DW无法看到隐藏进程,也没有他的log,不知道拦截了没,不过隐藏进程已经存在,而且远端执行也已经在运作,似乎凶多吉少

[ 本帖最后由 kns8028 于 2007-10-27 14:08 编辑 ]

Nblock

原帖由 a256886572008 于 2007-10-27 10:59 发表
昨天過微點的是這隻嗎

還有，IP6FW.SYS是正常的文件吧！

為何要刪掉

删的衍生物  没把正常的删掉  谁用预升级版测测我不测了     这支过微点预升级版的rootkit和其相关类型的 微点内测版都可以完美拦截处理

chow2006

费尔的“动态防御”拦截，而且MS动态防御无须频繁升级
危险进程(PID:2536): C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.016\file.exe

产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名

危险级别: 中
级别评分: 36.408880
状态: 进程已被结束，但还没有清除，等待进一步处理。

在线扫描发现它是一个“间谍程序”，推荐删除。