老木马 与 BD norton avria 360 duba的最大保护

271200017

在所有avira BD norton 360 duba最新版，最大保护状态。

仅Avira能检测出威胁，删除病毒，遗憾的是破镜难重圆，在avira感染的计算机上，自动升级被禁止，防火墙被禁止，系统BFE被无情的删除......。

BD IPS残废了，主界面显示的确实绿色的安全的；

norton,组件部分无法运转了（网页和病毒有效，声纳及防火墙应用程序控制均无效），主界面还显示安全。
在感染后的计算机上，祭出传说中的急救箱，云一切正常，全盘深层扫描；

遗憾的是 360和 duba及其急救箱均没发现任何异常；

在绝望时，norton终于检测到自身产品故障autofix 51**，3（隐去数字）错误，转到建议网页，于是网页上面方法提供了一页的文章，按照方法可以完美绞杀病毒，修复系统；

这两年，我给山山和数字均提过BFE保护要加强，IPsec 最好不要去优化的建议（看我过去的)，然而


plus:按照图文 前面的数字 1 2 3 4 5 6 顺序看；  话说norton的解决方案 是全英文的网站，还要一点计算机基础，不适合国人。

vm001

有样本没

hwl573452046

虽然看不明白，不过好像很厉害的样子

271200017

铁壳的英文网站建议
1 下载 NPE，关掉其他杀毒，运行NPE扫描，｛删除了4个可疑文件（可能是误杀），修复了注册表（多少项没说）｝。
2 前往MS 下载fixcenter，运行修复，有链接.
3 手动检查铁壳给出的 服务项 注册表项是否和他描述的一致。

总体是较麻烦的

271200017

vm001 发表于 2013-3-31 20:10
有样本没

移去 BFE 及一些系统注册表仅仅是木马的第一步
更要命的第二步 通过adobe flash感染， 局域网络感染  而这是由于云（半残废） 和防火墙（残废），大悲崔的事情发生了  能检测的多 然而都晚了 UAC主防也失效

一位外国专家这样描述他的经历，和我的相似。
Why BFE is missing or disabled on my computer?

There are viruses/trojans in active circulation that disable and remove the BFE service as a first step in the infection process.

In January 2012, I followed some link from Google, and immediately my Microsoft Security Essentials antivirus popped up and warned that real-time protection caught and disabled several viruses and trojans (Trojan:Win64/Sirefef.B, DDoS:Win32/Fareit.gen!A, Rogue:Win32/FakeRean, PWS:Win32/Karagany.A).

However, this was too late. The damange is already done. My BFE service and Windows firewall service were disabled and deleted from the registry.

Apparently, the malware that does this is exploiting a Flash vulnerability, therefore if you have Adobe Flash in your browser and it is not updated to the latest version, you could be infected by just visiting a wrong web page. I have User Account Control (UAC) enabled on my Windows 7 computer, but it didn’t prevent the infection.

wjcharles

271200017 发表于 2013-3-31 22:09
移去 BFE 及一些系统注册表仅仅是木马的第一步
更要命的第二步 通过adobe flash感染， 局域网络感染  而 ...

是0access吧，释放白加黑，诱导用户UAC选择允许，导致BFE被删，这个家族很久以前就这么干了http://blogs.mcafee.com/mcafee-l ... y-signed-installers

这是我当初碰到的类似问题http://bbs.kafan.cn/thread-1176501-1-1.html

这些是最近的。还只是我在样本区测到的
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

不过双击了这么多样本， 一般就是BFE服务被删导致NIS的防火墙失效，但0access的关键文件也会被杀，在系统重启后就没危害了。最严重的那段时间是service.exe被替换。但无论怎么样NIS的其他功能还是正常的。当初没找到修复BFE的方法前我还照样双击，sonar也是该杀的杀（都在win7 x64下）。sonar被废的情况还是第一次遇到，不知LZ能否提供下样本。

两大卫士和金山的急救箱都没用，360的急救箱记得有一次修复成功过，但不是正常的扫描，而是界面右边的系统修复之类的。后来再遇到类似情况就不灵了，可能是急救箱改版了吧。

消停

以前样本区火狐提供的0access，bd2011都能无压力的解决！

wowocock

请提供样本，我们测试看看 。谢谢。

360防火墙

请楼主提供下样本给8楼分析下

271200017

wjcharles 发表于 2013-4-1 04:54
是0access吧，释放白加黑，诱导用户UAC选择允许，导致BFE被删，这个家族很久以前就这么干了http://blogs. ...

360救急箱对于大部分木马来说是有效的.  但是norton这种修复大牛都是没法修复的. 不能怪别人, 普通人基本不会遇到这类毒.