trojan

pmj_sh

原帖由 jehovah_king 于 2007-11-4 22:10 发表
卡巴斯基       5.5.10          2007.11.04        2007-11-04  12.34  Backdoor.Win32.Bifrose.kt
Kaspersky           7.0.0.125     2007.11.04 Trojan.Win32.Chifrax.a
为何一样的病毒库报的结果不一样？

那个是报衍生物，写得清清楚楚的

SONGBOWEN

这个东西到底是什么？怎么解压不了？沙盘报告明明是C:\WINDOWS\TEMP\RarSFX0，也就是RAR自解压的默认目录啊……

jehovah_king

令我奇怪的是很久以前我就用上这个软件了
kav7的主动防御居然不报
现在又报出两种不同的病毒
郁闷中

SONGBOWEN

原帖由 jehovah_king 于 2007-11-4 22:18 发表
令我奇怪的是很久以前我就用上这个软件了
kav7的主动防御居然不报
现在又报出两种不同的病毒
郁闷中

更新病毒库的结果……

jehovah_king

Hack.Bifrose.kt
、“Bifrose变种kt”（Hack.Bifrose.kt）威胁级别：★★

　　病毒特征：这是一个窃取用户信息的后门病毒。

　　发作症状：病毒先在目标主机系统上释放病毒文件本身：%windows%svchost.exe和%plugin1.dat%svchost.exe，并将其自身添加到自启动项，达到开机自启动的目的。该病毒在目标主机上开启后门，自动收集用户重要信息，发送到特定主机进而接受黑客命令，直接降低目标主机系统安全性能。  


quote
http://www.love1295.com/article/sort016/sort010/info-1810.html
今天我打开电脑，卡巴自动更新，说我的电脑有毒: 木马程序 Trojan.Win32.Chifrax.a 文件: C:\Program Files\装机人员工具\一键还原精灵7.52\一键还原精灵7.52绿色版.exe  我还，是怎么回事啊，我用的是XP7.6版的,还原精灵是系统自己带的啊 ,大家有这情况吗
quote
别人也有这种情况-用了好久才发现有病毒

jehovah_king

原帖由 SONGBOWEN 于 2007-11-4 22:19 发表

更新病毒库的结果……

我是说理论上它应该写注册表
可只要写关键条目kav就会有反应（我还加了不少规则）
可这回kav没反应

jehovah_king

http://bbs.kafan.cn/viewthread.p ... p;page=1#pid1829556
找到了，文件从这里来的

capsshift

这个，红伞飘过了，微点报已知。
木马名称:Trojan.Win32.Chifrax.f

程序:
C:\USERS\PUBLIC\挂机锁.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

如果微点工程师已经分析，那么红伞漏报。双监控，强。

a256886572008

教一下樓主，如何分解這隻病毒！

有時是提不出來的，應為他已經綁起來了

這時，就要靠sandbox或HIPS(需具備AD和FD)了

1.免費的sandbox：

SandboxIE

2.免費的HIPS：

EQ，COMODO V3，........等！

我目前是用HIPS分離病毒檔，兩種是不同的方法！

1.sandbox是把所有的檔案(包括病毒檔)在"虛擬資料夾"下執行(不會中毒)，

執行完你再把要的檔案，從虛擬資料夾下提出來，剩下的，"一鍵刪除"，好用吧

2.HIPS是在實機下運行，需具備AD和FD，以利於判斷，

執行一個內嵌木馬的程式，

使用FD判斷程式在哪裡建立病毒檔和正常檔，通常看檔名就知道是否為病毒，

再來使用AD禁止他建立的檔案被執行，

最後到那個資料夾提出你要的東西，順便刪掉病毒檔案(通常是*.exe)

分離出了SVKP病毒








[ 本帖最后由 a256886572008 于 2007-11-5 08:28 编辑 ]

jehovah_king

thanks