查看: 16128|回复: 23
收起左侧

[一般话题] 好吧,以后U盘病毒不要再喊我

[复制链接]
ELOHIM
发表于 2014-11-4 13:20:27 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2014-11-4 14:26 编辑



每次从医保回来,工伤保险回来,就是一堆这!
天天都是这!
万恶的保险单位你们家电脑不杀杀吗?洗洗更健康不造吗!!!万恶的U盘病毒!
插上U盘,里面一堆exe程序,还是什么   工伤保险.exe   医疗保险.exe
禁止自动播放起很大作用,看来以后,txt ,zip ,rar ,*.*   都不能双击打开才行!!!
还有,一定要让系统进程里面长驻zhudongfangyu.exe,以增强用户的信心并对恶意软件进行持久、长有力地威慑!!

关于该病毒:
https://www.microsoft.com/securi ... 2%2fSality.AT#tab=2

找了一下,这种病毒根本就没有禁用360安全卫士,是可以“原生”绕过它吗?还是作者准备不足?所以360安全卫士每次都弹窗告诉用户U盘安全。如果没有SCEP这次拦截,我那个保险保管员大姐,可能会双击 工伤保险.exe   医疗保险.exe了了了……
[mw_shl_code=css,true]禁用安全监测软件

Sality.AT直接从 NT 内核读取系统服务描述符表 (SSDT) (ntoskrnl.exe) 并将原始SSDT传递给驱动程序组件创建的缓冲区 (Trojan:WinNT/Sality)。对SSDT系统API调用被重定向到干净的版本存储在驱动程序组件。行为可能会阻止某些HIPS或依靠SSDT挂钩的防病毒上访问检测方法。

删除与安全相关的文件

这种病毒删除安全数据文件包括安全软件检测数据库文件或具有以下文件扩展名的签名见于所有驱动器和网络共享:
• .AVC  
• .VDB  

停止与安全相关的服务

Win32/Sality尝试停止并删除与以下的安全相关的服务:
• Agnitum Client Security Service  
• ALG  
• Amon monitor  
• aswUpdSv  
• aswMon2  
• swRdr  
• aswSP  
• aswTdi  
• aswFsBlk  
• acssrv  
• AV Engine  
• avast! iAVS4 Control Service  
• avast! Antivirus  
• avast! Mail Scanner  
• avast! Web Scanner  
• avast! Asynchronous Virus Monitor  
• avast! Self Protection  
• AVG E-mail Scanner  
• Avira AntiVir Premium Guard  
• Avira AntiVir Premium WebGuard  
• Avira AntiVir Premium MailGuard  
• AVP  
• avp1  
• BackWeb Plug-in - 4476822  
• bdss  
• BGLiveSvc  
• BlackICE  
• CAISafe  
• ccEvtMgr  
• ccProxy  
• ccSetMgr  
• COMODO Firewall Pro Sandbox Driver  
• cmdGuard  
• cmdAgent  
• Eset Service  
• Eset HTTP Server  
• Eset Personal Firewall  
• F-Prot Antivirus Update Monitor  
• fsbwsys  
• FSDFWD  
• F-Secure Gatekeeper Handler Starter  
• FSMA  
• Google Online Services  
• InoRPC  
• InoRT  
• InoTask  
• ISSVC  
• KPF4  
• KLIF  
• LavasoftFirewall  
• LIVESRV  
• McAfeeFramework  
• McShield  
• McTaskManager  
• navapsvc  
• NOD32krn  
• NPFMntor  
• NSCService  
• Outpost Firewall main module  
• OutpostFirewall  
• PAVFIRES  
• PAVFNSVR  
• PavProt  
• PavPrSrv  
• PAVSRV  
• PcCtlCom  
• PersonalFirewal  
• PREVSRV  
• ProtoPort Firewall service  
• PSIMSVC  
• RapApp  
• SmcService  
• SNDSrvc  
• SPBBCSvc  
• SpIDer FS Monitor for Windows NT  
• SpIDer Guard File System Monitor  
• SPIDERNT  
• Symantec Core LC  
• Symantec Password Validation  
• Symantec AntiVirus Definition Watcher  
• SavRoam  
• Symantec AntiVirus  
• Tmntsrv  
• TmPfw  
• tmproxy  
• tcpsr  
• UmxAgent  
• UmxCfg  
• UmxLU  
• UmxPol  
• vsmon  
• VSSERV  
• WebrootDesktopFirewallDataService  
• WebrootFirewall  
• XCOMM  

停止与安全相关的过程

Win32/Sality试图阻止与安全相关的过程,如果以任何这些字符串开头的进程的名称:
• _AVPM.  
• A2GUARD.  
• AAVSHIELD.  
• AVAST  
• ADVCHK.  
• AHNSD.  
• AIRDEFENSE  
• ALERTSVC  
• ALOGSERV  
• ALSVC.  
• AMON.  
• ANTI-TROJAN.  
• AVZ.  
• ANTIVIR  
• APVXDWIN.  
• ARMOR2NET.  
• ASHAVAST.  
• ASHDISP.  
• ASHENHCD.  
• ASHMAISV.  
• ASHPOPWZ.  
• ASHSERV.  
• ASHSIMPL.  
• ASHSKPCK.  
• ASHWEBSV.  
• ASWUPDSV.  
• ATCON.  
• ATUPDATER.  
• ATWATCH.  
• AVCIMAN.  
• AVCONSOL.  
• AVENGINE.  
• AVESVC.  
• AVGAMSVR.  
• AVGCC.  
• AVGCC32.  
• AVGCTRL.  
• AVGEMC.  
• AVG{过}F{滤}WSRV.  
• AVGNT.  
• AVGNTDD  
• AVGNTMGR  
• AVGSERV.  
• AVGUARD.  
• AVGUPSVC.  
• AVINITNT.  
• AVKSERV.  
• AVKSERVICE.  
• AVKWCTL.  
• AVP.  
• AVP32.  
• AVPCC.  
• AVPM.  
• AVAST  
• AVSERVER.  
• AVSCHED32.  
• AVSYNMGR.  
• AVWUPD32.  
• AVWUPSRV.  
• AVXMONITOR9X.  
• AVXMONITORNT.  
• AVXQUAR.  
• BDMCON.  
• BDNEWS.  
• BDSUBMIT.  
• BDSWITCH.  
• BLACKD.  
• BLACKICE.  
• CAFIX.  
• CCAPP.  
• CCEVTMGR.  
• CCPROXY.  
• CCSETMGR.  
• CFIAUDIT.  
• CLAMTRAY.  
• CLAMWIN.  
• CLAW95.  
• CUREIT  
• DEFWATCH.  
• DRVIRUS.  
• DRWADINS.  
• DRWEB32W.  
• DRWEBSCD.  
• DRWEBUPW.  
• DWEBLLIO  
• DWEBIO  
• ESCANH95.  
• ESCANHNT.  
• EWIDOCTRL.  
• EZANTIVIRUSREGISTRATIONCHECK.  
• F-AGNT95.  
• FAMEH32.  
• FILEMON  
• FIRESVC.  
• FIRETRAY.  
• FIREWALL.  
• FPAVUPDM.  
• FRESHCLAM.  
• EKRN.  
• FSAV32.  
• FSAVGUI.  
• FSBWSYS.  
• F-SCHED.  
• FSDFWD.  
• FSGK32.  
• FSGK32ST.  
• FSGUIEXE.  
• FSMA32.  
• FSMB32.  
• FSPEX.  
• FSSM32.  
• F-STOPW.  
• GCASDTSERV.  
• GCASSERV.  
• GIANTANTISPYWAREMAIN.  
• GIANTANTISPYWAREUPDATER.  
• GUARDGUI.  
• GUARDNT.  
• HREGMON.  
• HRRES.  
• HSOCKPE.  
• HUPDATE.  
• IAMAPP.  
• IAMSERV.  
• ICLOAD95.  
• ICLOADNT.  
• ICMON.  
• ICSSUPPNT.  
• ICSUPP95.  
• ICSUPPNT.  
• IFACE.  
• INETUPD.  
• INOCIT.  
• INORPC.  
• INORT.  
• INOTASK.  
• INOUPTNG.  
• IOMON98.  
• ISAFE.  
• ISATRAY.  
• ISRV95.  
• ISSVC.  
• KAV.  
• KAVMM.  
• KAVPF.  
• KAVPFW.  
• KAVSTART.  
• KAVSVC.  
• KAVSVCUI.  
• KMAILMON.  
• KPFWSVC.  
• MCAGENT.  
• MCMNHDLR.  
• MCREGWIZ.  
• MCUPDATE.  
• MCVSSHLD.  
• MINILOG.  
• MYAGTSVC.  
• MYAGTTRY.  
• NAVAPSVC.  
• NAVAPW32.  
• NAVLU32.  
• NAVW32.  
• NEOWATCHLOG.  
• NEOWATCHTRAY.  
• NISSERV  
• NISUM.  
• NMAIN.  
• NOD32  
• NORMIST.  
• NOTSTART.  
• NPAVTRAY.  
• NPFMNTOR.  
• NPFMSG.  
• NPROTECT.  
• NSCHED32.  
• NSMDTR.  
• NSSSERV.  
• NSSTRAY.  
• NTRTSCAN.  
• NTOS.  
• NTXCONFIG.  
• NUPGRADE.  
• NVCOD.  
• NVCTE.  
• NVCUT.  
• NWSERVICE.  
• OFCPFWSVC.  
• OUTPOST  
• OP_MON.  
• PAVFIRES.  
• PAVFNSVR.  
• PAVKRE.  
• PAVPROT.  
• PAVPROXY.  
• PAVPRSRV.  
• PAVSRV51.  
• PAVSS.  
• PCCGUIDE.  
• PCCIOMON.  
• PCCNTMON.  
• PCCPFW.  
• PCCTLCOM.  
• PCTAV.  
• PERSFW.  
• PERTSK.  
• PERVAC.  
• PNMSRV.  
• POP3TRAP.  
• POPROXY.  
• PREVSRV.  
• PSIMSVC.  
• QHONLINE.  
• QHONSVC.  
• QHWSCSVC.  
• RAVMON.  
• RAVTIMER.  
• AVGNT  
• AVCENTER.  
• RFWMAIN.  
• RTVSCAN.  
• RTVSCN95.  
• RULAUNCH.  
• SALITY  
• SAVADMINSERVICE.  
• SAVMAIN.  
• SAVPROGRESS.  
• SAVSCAN.  
• SCANNINGPROCESS.  
• SDRA64.  
• SDHELP.  
• SHSTAT.  
• SITECLI.  
• SPBBCSVC.  
• SPHINX.  
• SPIDERCPL.  
• SPIDERML.  
• SPIDERNT.  
• SPIDERUI.  
• SPYBOTSD.  
• SPYXX.  
• SS3EDIT.  
• STOPSIGNAV.  
• SWAGENT.  
• SWDOCTOR.  
• SWNETSUP.  
• SYMLCSVC.  
• SYMPROXYSVC.  
• SYMSPORT.  
• SYMWSC.  
• SYNMGR.  
• TAUMON.  
• TBMON.  
• AVAST  
• TMLISTEN.  
• TMNTSRV.  
• TMPFW.  
• TMPROXY.  
• TNBUTIL.  
• TRJSCAN.  
• UP2DATE.  
• VBA32ECM.  
• VBA32IFS.  
• VBA32LDR.  
• VBA32PP3.  
• VBSNTW.  
• VCRMON.  
• VPTRAY.  
• VRFWSVC.  
• VRMONNT.  
• VRMONSVC.  
• VRRW32.  
• VSECOMR.  
• VSHWIN32.  
• VSMON.  
• VSSERV.  
• VSSTAT.  
• WATCHDOG.  
• WEBSCANX.  
• WEBTRAP.  
• WGFE95.  
• WINAW32.  
• WINROUTE.  
• WINSS.  
• WINSSNOTIFY.  
• WRCTRL.  
• XCOMMSVR.  
• ZAUINST  
• ZLCLIENT  
• ZONEALARM  

此外, Sality.AT杀死后加载的模块的过程:
• DWEBLLIO   
• DWEBIO [/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
发表于 2014-11-4 14:04:19 | 显示全部楼层
还是感染型的样本?那个绿色弹框,十分耀眼,没有文件监控果然是个问题
Miostartos
发表于 2014-11-4 14:10:40 | 显示全部楼层
sality-。-
ELOHIM
 楼主| 发表于 2014-11-4 14:14:57 | 显示全部楼层

额,请大神明示……
ELOHIM
 楼主| 发表于 2014-11-4 14:20:20 | 显示全部楼层
驭龙 发表于 2014-11-4 14:04
还是感染型的样本?那个绿色弹框,十分耀眼,没有文件监控果然是个问题

MSE低调中的小威武,全都展示在U盘上面了?
其它方面,就不得而知了。
反正,MSE的查杀率实在是太糟糕了……
驭龙
发表于 2014-11-4 14:37:39 | 显示全部楼层
ELOHIM 发表于 2014-11-4 14:20
MSE低调中的小威武,全都展示在U盘上面了?
其它方面,就不得而知了。
反正,MSE的查杀率实在是太糟糕 ...

其实其他方面也还可以,我有时候闲来无事,把MA文件监控关闭,然后把MA能杀的病毒激活十个八个的,之后开启监控,那是各种杀以及各种动态防御。

不过你说的没错,MA的查杀太糟糕,而且自从上个月的特征库合并以后,半个月来,MMPC好像不怎么更新特征库的内容,唉,查杀啊,果然是基准线,哈哈
ELOHIM
 楼主| 发表于 2014-11-4 14:47:04 | 显示全部楼层
驭龙 发表于 2014-11-4 14:37
其实其他方面也还可以,我有时候闲来无事,把MA文件监控关闭,然后把MA能杀的病毒激活十个八个的,之后开 ...

基线也是够了,70+,80+,剩下20%留给用户处理。

然后,站在高处的那些,差距在0.2%左右,然后 ,然后 ,

然后都在争谁是国内第一,世界第一……
HEMM
发表于 2014-11-4 15:32:33 | 显示全部楼层
宇宙第一漏啦?
= =不过我的U盘长期闲置,里面就两个游戏安装包...
jasonliul
头像被屏蔽
发表于 2014-11-4 20:44:50 | 显示全部楼层
s22962000
发表于 2014-11-4 21:51:46 | 显示全部楼层
樓主是 MSE + 360衛士??  不會衝突嗎?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 02:22 , Processed in 0.137567 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表