再次讨论火绒微点分别对所谓间谍程序的判断

wqcaokeyinwq

win98sp123 发表于 2013-5-29 20:19
我说了，不是讨论谁好谁坏的，只是想看看，这个样本的本质，然后看看微点和火绒哪个报的更准确，我更乐于 ...

报的准确否。。。。普通的用户是判断不出来的。。。


如果实在想知道。。。。。除了火眼的工具外。。。可以考虑试试专业HIPS软件。。。。再或者。。上报微点官方。。。让她们帮你分析下。。

win98sp123

wqcaokeyinwq 发表于 2013-5-29 20:20
报的准确否。。。。普通的用户是判断不出来的。。。

哦，我上报看看。。。

镜湖

楼主可能是默认设置，没有把微点的防火墙打开。上次有人质疑为什么火报样本联网而微点直接就报毒了，原因就在于微点的默认设置是不开防火墙的。

√×√×√√×

wqcaokeyinwq 发表于 2013-5-29 20:13
用人不疑疑人不用。。。。。。

囧，潜规则？囧囧

win98sp123

wqcaokeyinwq 发表于 2013-5-29 20:20
报的准确否。。。。普通的用户是判断不出来的。。。

刚才在微点官网的最新病毒栏目里，看了很多微点报未知间谍的分析，感觉微点报的还是很贴切的。有兴趣的可以去看看：http://www.micropoint.com.cn/NewVirus/NewVirus/index_1.html。
举出一个微点官方分析的间谍样本，非常清楚了，这样看来，报间谍后门，微点功夫还是了得的：
1.获取系统目录，将自身拷贝重命名为"C:\WINDOWS\system32\dyjt.exe"，并设置文件属性为系统、隐藏。
2.创建新进程执行"C:\WINDOWS\system32\dyjt.exe"。
3.创建新进程执行"C:\WINDOWS\system32\cmd.exe /C del  病毒主程序 > nul"将病毒主程序删除。
4."C:\WINDOWS\system32\dyjt.exe"执行之后，连接服务控制管理器，创建名字为"dyjt"的服务，显示名称为"dyjt Service"，启动类型为自动，执行映像指向"C:\WINDOWS\system32\dyjt.exe"，之后启动此服务，并设置描述信息为"dyjt server for firewall test"。
5.服务"dyjt"启动之后，以挂起的方式执行"C:\WINDOWS\system32\svchost.exe"，将自身注入到该进程地址空间并执行。
6.病毒以"svchost.exe"为宿主执行之后，将自身句柄拷贝到进程"system"中，防止文件被删除。
7.每隔10秒钟，开辟新线程：
（1）解密网址"pks.**2012.us:3012"，创建套接字，连接该地址，获取本地处理器类型、操作系统版本、内存使用状况、默认使用语言等信息发送到该主机，并从该主机接收控制命令，执行其他恶意操作。
（2）恶意操作包括关闭重启当前系统、卸载自身服务、下载其他病毒文件执行、对其他主机发动洪水攻击等。

sdupyb

火绒官方更新速度蛮快的