测测你的主动防御！

显示全部楼层 · 发表于 2007-12-21 21:15:18

2007-12-21 20:55:43 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Setup.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2007-12-21 20:55:49 刪除登錄檔    操作:封鎖
程序路徑:D:\Setup.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2007-12-21 20:55:55 執行應用程序    操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-21 20:56:00 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-21 20:56:03 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-21 20:56:05 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-21 20:56:09 執行應用程序    操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*

2007-12-21 20:56:12 建立檔案    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-21 20:56:14 執行應用程序    操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->*

2007-12-21 20:56:18 刪除登錄檔    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2007-12-21 20:56:31 執行應用程序    操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*

2007-12-21 20:56:35 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

2007-12-21 20:56:43 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-21 20:56:55 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-21 20:56:58 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-21 20:57:09 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*

2007-12-21 20:57:18 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->*

2007-12-21 20:57:31 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*

2007-12-21 20:57:47 執行應用程序    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:c:\program files\winrar\rar.exe
指令列:X "D:\Memory\Gibli\地海戰記\Tales_from_Earthsea.rar" "C:\WINDOWS\system32\com\bak\Tales_from_Earthsea.rar\" -r -inul -ibck -y
觸發規則:所有程序規則->*

命令rar.exe作壞事情

2007-12-21 20:58:34 修改檔案操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\Memory\國立清華大學096學年度上學期註冊費收據.htm
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->*.htm

開始感染*.htm

2007-12-21 20:58:40 建立檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-21 20:58:54 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\~^|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-21 20:58:59 執行應用程序    操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\~|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->*

2007-12-21 20:59:05 修改檔案    操作:封鎖
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

開始感染*.exe

2007-12-21 20:59:10 結束/建立程序    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
目標程序:C:\WINDOWS\system32\cmd.exe
觸發規則:所有程序規則->*

2007-12-21 20:59:56 刪除檔案    操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

上面這塊block，一直重複運行

显示全部楼层 · 发表于 2007-12-21 21:18:27

cacls.exe C:\WINDOWS\system32\com /e /t /g hips:F ///修改权限?
regsvr32.exe C:\WINDOWS\system32\com\netcfg.dll /s //这个文件都没有...
然后自己退出了,,不知道干了什么....

by SSM 618,没文件保护的.

显示全部楼层 · 发表于 2007-12-21 21:18:32

谢天谢地，你戒掉了发一大堆图片的习惯

显示全部楼层 · 发表于 2007-12-21 21:24:29

我被影子害得重裝系統了

建議大家，用正常卸載影子系統就好了，

千萬不要自己手動刪除影子的驅動，系統會BSOD啊

显示全部楼层 · 发表于 2007-12-21 22:11:25

关闭卡巴的监控，运行后程序被结束，冰忍启动后也被关闭。
重新启动系统后有一个avp进程在，但还是无法唤出程序界面。但单独的这个avp进程似乎在正常工作，虽然看不到程序界面，但似乎卡巴在清除活动威胁，不久系统就自动重新启动。
重新启动系统后卡巴程序正常启动，重新开启监控并进行全盘扫描，病毒文件被删除，感染了很多exe文件，卡巴能清除。
但注册表已经被改，无法显示隐藏文件，用winrar能看到被隐藏的文件。
最后修复注册表，系统恢复正常。
实机运行，花了好多时间。。。

这个病毒确实厉害！！卡巴的主防对付病毒还欠些火候。

显示全部楼层 · 发表于 2007-12-21 22:20:36

费尔报病毒

显示全部楼层 · 发表于 2007-12-21 23:40:55

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\SMSS.EXE
触发规则:黑名单->文件保护->?:\*.exe

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\netcfg.dll
触发规则:所有程序规则->文件规则->%systemdrive%\*.dll

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\netcfg.dll
触发规则:所有程序规则->文件规则->%systemdrive%\*.dll

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\netcfg.dll
触发规则:所有程序规则->文件规则->%systemdrive%\*.dll

2007-12-21 23:28:55 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:C:\WINDOWS\system32\com\netcfg.dll /s
触发规则:所有程序规则->禁止程序->*\regsvr32.exe

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\LSASS.EXE
触发规则:黑名单->文件保护->?:\*.exe

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\LSASS.EXE
触发规则:黑名单->文件保护->?:\*.exe

2007-12-21 23:28:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\harm\Setup.exe
文件路径:C:\WINDOWS\system32\com\LSASS.EXE
触发规则:黑名单->文件保护->?:\*.exe

2007-12-21 23:28:57 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\ping.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->禁止程序->*\conime.exe

[ 本帖最后由 1688388728 于 2007-12-21 23:42 编辑 ]

显示全部楼层 · 发表于 2007-12-22 00:24:42

实机下运行。这个病毒确实很猛，驱逐舰和360安全卫士被严重破坏，KV2008的监控完全退出，天网防火墙强行退出。重启后KV2008的BootScan功能查杀4个病毒文件，只有KV2008完全启动，未被破坏。监控运行正常，机器运行速度未见异常。KV2008的金钟罩看来没有白练！

显示全部楼层 · 发表于 2007-12-22 00:44:33

原帖由 saga3721 于 2007-12-21 10:11 发表
这是一个微点专杀！就是奔着微点的进程去的，专门坑害单用微点的用户。
好象是LSASS.EXE蠕虫？

微点也可以加特征码的嘛！

病毒名称:Virus.Win32.Xorer.ba
程序: C:\DOCUMENTS AND SETTINGS\狼行天下\桌面\SETUP.EXE 是病毒程序! 已成功阻止其运行,是否要删除此文件?

显示全部楼层 · 发表于 2007-12-22 01:07:48

加特征码是治标不治本，只要把病毒免杀一下，或用同样技术写出另外一个病毒，就照样过微点
何况微点把主动防御的招牌打得这么响，如果只能靠特征码来对付这一类的病毒未免大失面子

[病毒样本] 测测你的主动防御！

回复 31楼 a256886572008 的帖子

回复 33楼 solcroft 的帖子

本帖子中包含更多资源

回复 39楼野马的帖子

浏览过的版块