bypass微点预升级测试版的rootkit 附样本

Nblock

原帖由 chow2006 于 2007-10-27 12:37 发表
费尔的“动态防御”拦截，而且MS动态防御无须频繁升级
危险进程(PID:2536): C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.016\file.exe

产品名称: 无
文件版本: 无
公司名称 ...

卡饭送我的费尔号好像还在

qigang

http://bbs.kafan.cn/viewthread.php?tid=148533&extra=page%3D1

区别?

solcroft

原帖由 chow2006 于 2007-10-27 14:07 发表
费尔的“动态防御”拦截，而且MS动态防御无须频繁升级

费尔只懂得终止危险进程，对病毒的渣碎束手无策，如果长期运行病毒的话满盘都是垃圾是必定的后果

小邪邪

MCAFEE防这个就跟玩似的，病毒是连渣都没留下，也就留下点MCAFEE拦截记录而已
已自动阻止了所有危险行为，整个过程完全无须人工干预



执行后MCAFEE（1秒内）瞬间在就后台产生了近10条拦截记录

MCAFEE一般保护规则（综合防护）的后台自动拦截记录：

2007-10-27 14:48:39 已由访问保护规则禁止E:\Downloads\test\file\file.exe
C:\WINDOWS\System32\drivers\ip6fw.sys
防病毒标准保护:禁止远程创建/修改可执行文件和配置文件
已阻止的操作: 写入

2007-10-27 14:48:39 已由访问保护规则禁止E:\Downloads\test\file\file.exe
C:\WINDOWS\System32\drivers\runtime.sys
防病毒标准保护:禁止远程创建/修改可执行文件和配置文件
已阻止的操作: 创建

2007-10-27 14:48:39 已由访问保护规则E:\Downloads\test\file\file.exe
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\runtime
通用最大保护:禁止将程序注册为服务
已阻止的操作: 创建

2007-10-27 14:48:39 已由访问保护规则禁止E:\Downloads\test\file\file.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
用户定义的规则:AD 阻止未知程序私自启动
已阻止的操作: 读取

2007-10-27 14:48:39 已由访问保护规则禁止E:\Downloads\test\file\file.exe
C:\WINDOWS\system32\cmd.exe
用户定义的规则:AD 阻止未知程序私自启动
已阻止的操作: 读取

此物试图创建新驱动和修改原有驱动，还要改注册表（将自身注册为服务等）
而且还调用了IE，CMD等重要程序

挺厉害嘛

[ 本帖最后由 小邪邪 于 2007-10-27 15:01 编辑 ]

chow2006

费尔只懂得终止危险进程，对病毒的渣碎束手无策，如果长期运行病毒的话满盘都是垃圾是必定的后果

确实如此，所以我用影子，一方面确保安全，一方面清除残渣。
但一般用户不会存在“长期运行病毒的话满盘都是垃圾是必定的后果”

scottxzt

无法运行,为何?

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.DL.Win32.Agent.ztk

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.15.51

秋叶濛濛

nod32报了....就不扫了

uhthn2002

Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Standard Database - 708
Paranoia Database - 48220
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\Uhthn\Desktop\file.exe

C:\Documents and Settings\Uhthn\Desktop\file.exe - Infected TROJAN-DOWNLOADER.AGENT.23 - Deleted

1 Files scanned
1 Infected files found
0 Suspected files found
0 Files cured
1 Files deleted

lsyer

可怜的GSS~