好吧，以后U盘病毒不要再喊我

ELOHIM

每次从医保回来，工伤保险回来，就是一堆这！
天天都是这！
万恶的保险单位你们家电脑不杀杀吗？洗洗更健康不造吗！！！万恶的U盘病毒！
插上U盘，里面一堆exe程序，还是什么   工伤保险.exe   医疗保险.exe
禁止自动播放起很大作用，看来以后，txt ,zip ,rar ,*.*   都不能双击打开才行！！！
还有，一定要让系统进程里面长驻zhudongfangyu.exe，以增强用户的信心并对恶意软件进行持久、长有力地威慑！！

关于该病毒：
https://www.microsoft.com/securi ... 2%2fSality.AT#tab=2

找了一下，这种病毒根本就没有禁用360安全卫士，是可以“原生”绕过它吗？还是作者准备不足？所以360安全卫士每次都弹窗告诉用户U盘安全。如果没有SCEP这次拦截，我那个保险保管员大姐，可能会双击 工伤保险.exe   医疗保险.exe了了了……
[mw_shl_code=css,true]禁用安全监测软件

Sality.AT直接从 NT 内核读取系统服务描述符表 (SSDT） (ntoskrnl.exe） 并将原始SSDT传递给驱动程序组件创建的缓冲区 (Trojan:WinNT/Sality）。对SSDT系统API调用被重定向到干净的版本存储在驱动程序组件。行为可能会阻止某些HIPS或依靠SSDT挂钩的防病毒上访问检测方法。

删除与安全相关的文件

这种病毒删除安全数据文件包括安全软件检测数据库文件或具有以下文件扩展名的签名见于所有驱动器和网络共享：
• .AVC  
• .VDB  

停止与安全相关的服务

Win32/Sality尝试停止并删除与以下的安全相关的服务：
• Agnitum Client Security Service  
• ALG  
• Amon monitor  
• aswUpdSv  
• aswMon2  
• swRdr  
• aswSP  
• aswTdi  
• aswFsBlk  
• acssrv  
• AV Engine  
• avast! iAVS4 Control Service  
• avast! Antivirus  
• avast! Mail Scanner  
• avast! Web Scanner  
• avast! Asynchronous Virus Monitor  
• avast! Self Protection  
• AVG E-mail Scanner  
• Avira AntiVir Premium Guard  
• Avira AntiVir Premium WebGuard  
• Avira AntiVir Premium MailGuard  
• AVP  
• avp1  
• BackWeb Plug-in - 4476822  
• bdss  
• BGLiveSvc  
• BlackICE  
• CAISafe  
• ccEvtMgr  
• ccProxy  
• ccSetMgr  
• COMODO Firewall Pro Sandbox Driver  
• cmdGuard  
• cmdAgent  
• Eset Service  
• Eset HTTP Server  
• Eset Personal Firewall  
• F-Prot Antivirus Update Monitor  
• fsbwsys  
• FSDFWD  
• F-Secure Gatekeeper Handler Starter  
• FSMA  
• Google Online Services  
• InoRPC  
• InoRT  
• InoTask  
• ISSVC  
• KPF4  
• KLIF  
• LavasoftFirewall  
• LIVESRV  
• McAfeeFramework  
• McShield  
• McTaskManager  
• navapsvc  
• NOD32krn  
• NPFMntor  
• NSCService  
• Outpost Firewall main module  
• OutpostFirewall  
• PAVFIRES  
• PAVFNSVR  
• PavProt  
• PavPrSrv  
• PAVSRV  
• PcCtlCom  
• PersonalFirewal  
• PREVSRV  
• ProtoPort Firewall service  
• PSIMSVC  
• RapApp  
• SmcService  
• SNDSrvc  
• SPBBCSvc  
• SpIDer FS Monitor for Windows NT  
• SpIDer Guard File System Monitor  
• SPIDERNT  
• Symantec Core LC  
• Symantec Password Validation  
• Symantec AntiVirus Definition Watcher  
• SavRoam  
• Symantec AntiVirus  
• Tmntsrv  
• TmPfw  
• tmproxy  
• tcpsr  
• UmxAgent  
• UmxCfg  
• UmxLU  
• UmxPol  
• vsmon  
• VSSERV  
• WebrootDesktopFirewallDataService  
• WebrootFirewall  
• XCOMM  

停止与安全相关的过程

Win32/Sality试图阻止与安全相关的过程，如果以任何这些字符串开头的进程的名称：
• _AVPM.  
• A2GUARD.  
• AAVSHIELD.  
• AVAST  
• ADVCHK.  
• AHNSD.  
• AIRDEFENSE  
• ALERTSVC  
• ALOGSERV  
• ALSVC.  
• AMON.  
• ANTI-TROJAN.  
• AVZ.  
• ANTIVIR  
• APVXDWIN.  
• ARMOR2NET.  
• ASHAVAST.  
• ASHDISP.  
• ASHENHCD.  
• ASHMAISV.  
• ASHPOPWZ.  
• ASHSERV.  
• ASHSIMPL.  
• ASHSKPCK.  
• ASHWEBSV.  
• ASWUPDSV.  
• ATCON.  
• ATUPDATER.  
• ATWATCH.  
• AVCIMAN.  
• AVCONSOL.  
• AVENGINE.  
• AVESVC.  
• AVGAMSVR.  
• AVGCC.  
• AVGCC32.  
• AVGCTRL.  
• AVGEMC.  
• AVG{过}F{滤}WSRV.  
• AVGNT.  
• AVGNTDD  
• AVGNTMGR  
• AVGSERV.  
• AVGUARD.  
• AVGUPSVC.  
• AVINITNT.  
• AVKSERV.  
• AVKSERVICE.  
• AVKWCTL.  
• AVP.  
• AVP32.  
• AVPCC.  
• AVPM.  
• AVAST  
• AVSERVER.  
• AVSCHED32.  
• AVSYNMGR.  
• AVWUPD32.  
• AVWUPSRV.  
• AVXMONITOR9X.  
• AVXMONITORNT.  
• AVXQUAR.  
• BDMCON.  
• BDNEWS.  
• BDSUBMIT.  
• BDSWITCH.  
• BLACKD.  
• BLACKICE.  
• CAFIX.  
• CCAPP.  
• CCEVTMGR.  
• CCPROXY.  
• CCSETMGR.  
• CFIAUDIT.  
• CLAMTRAY.  
• CLAMWIN.  
• CLAW95.  
• CUREIT  
• DEFWATCH.  
• DRVIRUS.  
• DRWADINS.  
• DRWEB32W.  
• DRWEBSCD.  
• DRWEBUPW.  
• DWEBLLIO  
• DWEBIO  
• ESCANH95.  
• ESCANHNT.  
• EWIDOCTRL.  
• EZANTIVIRUSREGISTRATIONCHECK.  
• F-AGNT95.  
• FAMEH32.  
• FILEMON  
• FIRESVC.  
• FIRETRAY.  
• FIREWALL.  
• FPAVUPDM.  
• FRESHCLAM.  
• EKRN.  
• FSAV32.  
• FSAVGUI.  
• FSBWSYS.  
• F-SCHED.  
• FSDFWD.  
• FSGK32.  
• FSGK32ST.  
• FSGUIEXE.  
• FSMA32.  
• FSMB32.  
• FSPEX.  
• FSSM32.  
• F-STOPW.  
• GCASDTSERV.  
• GCASSERV.  
• GIANTANTISPYWAREMAIN.  
• GIANTANTISPYWAREUPDATER.  
• GUARDGUI.  
• GUARDNT.  
• HREGMON.  
• HRRES.  
• HSOCKPE.  
• HUPDATE.  
• IAMAPP.  
• IAMSERV.  
• ICLOAD95.  
• ICLOADNT.  
• ICMON.  
• ICSSUPPNT.  
• ICSUPP95.  
• ICSUPPNT.  
• IFACE.  
• INETUPD.  
• INOCIT.  
• INORPC.  
• INORT.  
• INOTASK.  
• INOUPTNG.  
• IOMON98.  
• ISAFE.  
• ISATRAY.  
• ISRV95.  
• ISSVC.  
• KAV.  
• KAVMM.  
• KAVPF.  
• KAVPFW.  
• KAVSTART.  
• KAVSVC.  
• KAVSVCUI.  
• KMAILMON.  
• KPFWSVC.  
• MCAGENT.  
• MCMNHDLR.  
• MCREGWIZ.  
• MCUPDATE.  
• MCVSSHLD.  
• MINILOG.  
• MYAGTSVC.  
• MYAGTTRY.  
• NAVAPSVC.  
• NAVAPW32.  
• NAVLU32.  
• NAVW32.  
• NEOWATCHLOG.  
• NEOWATCHTRAY.  
• NISSERV  
• NISUM.  
• NMAIN.  
• NOD32  
• NORMIST.  
• NOTSTART.  
• NPAVTRAY.  
• NPFMNTOR.  
• NPFMSG.  
• NPROTECT.  
• NSCHED32.  
• NSMDTR.  
• NSSSERV.  
• NSSTRAY.  
• NTRTSCAN.  
• NTOS.  
• NTXCONFIG.  
• NUPGRADE.  
• NVCOD.  
• NVCTE.  
• NVCUT.  
• NWSERVICE.  
• OFCPFWSVC.  
• OUTPOST  
• OP_MON.  
• PAVFIRES.  
• PAVFNSVR.  
• PAVKRE.  
• PAVPROT.  
• PAVPROXY.  
• PAVPRSRV.  
• PAVSRV51.  
• PAVSS.  
• PCCGUIDE.  
• PCCIOMON.  
• PCCNTMON.  
• PCCPFW.  
• PCCTLCOM.  
• PCTAV.  
• PERSFW.  
• PERTSK.  
• PERVAC.  
• PNMSRV.  
• POP3TRAP.  
• POPROXY.  
• PREVSRV.  
• PSIMSVC.  
• QHONLINE.  
• QHONSVC.  
• QHWSCSVC.  
• RAVMON.  
• RAVTIMER.  
• AVGNT  
• AVCENTER.  
• RFWMAIN.  
• RTVSCAN.  
• RTVSCN95.  
• RULAUNCH.  
• SALITY  
• SAVADMINSERVICE.  
• SAVMAIN.  
• SAVPROGRESS.  
• SAVSCAN.  
• SCANNINGPROCESS.  
• SDRA64.  
• SDHELP.  
• SHSTAT.  
• SITECLI.  
• SPBBCSVC.  
• SPHINX.  
• SPIDERCPL.  
• SPIDERML.  
• SPIDERNT.  
• SPIDERUI.  
• SPYBOTSD.  
• SPYXX.  
• SS3EDIT.  
• STOPSIGNAV.  
• SWAGENT.  
• SWDOCTOR.  
• SWNETSUP.  
• SYMLCSVC.  
• SYMPROXYSVC.  
• SYMSPORT.  
• SYMWSC.  
• SYNMGR.  
• TAUMON.  
• TBMON.  
• AVAST  
• TMLISTEN.  
• TMNTSRV.  
• TMPFW.  
• TMPROXY.  
• TNBUTIL.  
• TRJSCAN.  
• UP2DATE.  
• VBA32ECM.  
• VBA32IFS.  
• VBA32LDR.  
• VBA32PP3.  
• VBSNTW.  
• VCRMON.  
• VPTRAY.  
• VRFWSVC.  
• VRMONNT.  
• VRMONSVC.  
• VRRW32.  
• VSECOMR.  
• VSHWIN32.  
• VSMON.  
• VSSERV.  
• VSSTAT.  
• WATCHDOG.  
• WEBSCANX.  
• WEBTRAP.  
• WGFE95.  
• WINAW32.  
• WINROUTE.  
• WINSS.  
• WINSSNOTIFY.  
• WRCTRL.  
• XCOMMSVR.  
• ZAUINST  
• ZLCLIENT  
• ZONEALARM  

此外， Sality.AT杀死后加载的模块的过程：
• DWEBLLIO   
• DWEBIO [/mw_shl_code]

驭龙

还是感染型的样本？那个绿色弹框，十分耀眼，没有文件监控果然是个问题

Miostartos

sality-。-

ELOHIM

STCn1000 发表于 2014-11-4 14:10
sality-。-

额，请大神明示……

ELOHIM

驭龙 发表于 2014-11-4 14:04
还是感染型的样本？那个绿色弹框，十分耀眼，没有文件监控果然是个问题

MSE低调中的小威武，全都展示在U盘上面了？
其它方面，就不得而知了。
反正，MSE的查杀率实在是太糟糕了……

驭龙

ELOHIM 发表于 2014-11-4 14:20
MSE低调中的小威武，全都展示在U盘上面了？
其它方面，就不得而知了。
反正，MSE的查杀率实在是太糟糕 ...

其实其他方面也还可以，我有时候闲来无事，把MA文件监控关闭，然后把MA能杀的病毒激活十个八个的，之后开启监控，那是各种杀以及各种动态防御。

不过你说的没错，MA的查杀太糟糕，而且自从上个月的特征库合并以后，半个月来，MMPC好像不怎么更新特征库的内容，唉，查杀啊，果然是基准线，哈哈

ELOHIM

驭龙 发表于 2014-11-4 14:37
其实其他方面也还可以，我有时候闲来无事，把MA文件监控关闭，然后把MA能杀的病毒激活十个八个的，之后开 ...

基线也是够了，70+，80+，剩下20%留给用户处理。

然后，站在高处的那些，差距在0.2%左右，然后 ，然后 ，

然后都在争谁是国内第一，世界第一……

HEMM

宇宙第一漏啦？
= =不过我的U盘长期闲置，里面就两个游戏安装包...

jasonliul

http://bbs.kafan.cn/thread-1692711-1-1.html
免费版的也不错~

s22962000

樓主是 MSE + 360衛士??  不會衝突嗎?