感染型样本，测试修复能力…………

显示全部楼层 · 发表于 2014-5-25 18:31:28

勇者无敌发表于 2014-5-25 18:28
看来要倒一片了

修复应该没多大可能。
我找了几个感染前后的文件对比了下，没有修复的可能

显示全部楼层 · 发表于 2014-5-25 18:32:45

XywCloud 发表于 2014-5-25 18:25
bav没有报感染型病毒。

沙盘内验证发现其为全盘感染型病毒，原文件去除后缀后保留，新建一个感染后的文 ...

源文件以什么状态存在呢？？还是在原位吗？

显示全部楼层 · 发表于 2014-5-25 18:34:22

本帖最后由 XywCloud 于 2014-5-25 18:36 编辑

zhou0197 发表于 2014-5-25 18:32
源文件以什么状态存在呢？？还是在原位吗？

刚刚检查了，源文件在感染成功后几分钟被隐藏了【很抱歉没看清楚。。。】
感染后的文件整个结构都被破坏了，没有修复的可能了。

显示全部楼层 · 发表于 2014-5-25 18:36:37

XywCloud 发表于 2014-5-25 18:34
刚刚检查了，源文件在感染成功后几分钟删了。
没有修复的可能了。

了解…………就是说，这个样本里面其实并不包含原有的正常文件代码？

显示全部楼层 · 发表于 2014-5-25 18:37:40

zhou0197 发表于 2014-5-25 18:36
了解…………就是说，这个样本里面其实并不包含原有的正常文件代码？

我看了几个感染后的文件，大小不一，可能含有一部分正常的文件代码。

我重新去测试下吧，刚刚的结果太混乱了，等下给你个最终结论。

显示全部楼层 · 发表于 2014-5-25 18:39:07

XywCloud 发表于 2014-5-25 18:37
我看了几个感染后的文件，大小不一，可能含有一部分正常的文件代码。

我重新去测试下吧，刚刚的结果太 ...

好的…………

显示全部楼层 · 发表于 2014-5-25 18:42:43

EAV点击下载即拦截

显示全部楼层 · 发表于 2014-5-25 18:45:04

本帖最后由 XywCloud 于 2014-5-25 18:46 编辑

zhou0197 发表于 2014-5-25 18:39
好的…………

最终结论：
源文件在感染后被隐藏，新的文件的结构完全一致（虽然文件大小不一样）！

只能证明一点：文件原始代码完全没了，纯粹一病毒。

当然，也有一种比较逗比的情况：原始代码的确在（但是肯定不完整），但是被病毒做了处理。

显示全部楼层 · 发表于 2014-5-25 18:47:29

XywCloud 发表于 2014-5-25 18:45
最终结论：
源文件在感染后被隐藏，新的文件的结构完全一致（虽然文件大小不一样）！

收到…………修复这条路可以说是无解了…………

样本来自某个在毒霸官方论坛求助的LZ，据说管家的官方人员已经介入…………

不知文件的隐藏用的是个什么方法？通过什么方法可见？

显示全部楼层 · 发表于 2014-5-25 18:53:05

zhou0197 发表于 2014-5-25 18:47
收到…………修复这条路可以说是无解了…………

样本来自某个在毒霸官方论坛求助的LZ，据说管家的官方 ...

另：这个病毒好像只感染当前系统的进程。

我这边沙盘测试的时候，看到沙盘里面一般都是两个文件一组：xxx(某个进程对应的文件名)(无后缀名，原始文件，带有隐藏属性)、xxx.exe(感染后文件，无任何附加属性)。
费尔动态防御再次提示的时候（运行病毒时我点了暂时允许），我点了处理，然后费尔把全部的感染后文件处理了。之后我看到目录里面就剩下了xxx.exe(正常文件，带有隐藏属性)。
大致就是这个情况。

[病毒样本] 感染型样本，测试修复能力…………

浏览过的版块