机器狗下的rootkit盗号程序 微点发现可疑

Nblock

原帖由 黄金马甲出租 于 2008-3-22 21:43 发表
cr+h2h07m

微点报了    争取明天看大牛的分析报告

黄金马甲出租

这驱动加载后应该是从进程对象中把自己删除了，微点可以检测到它的进程已经很不错了，把样本提交到官方应该会尽快解决的，其他比较出名的工具全部找不到进程

[ 本帖最后由 黄金马甲出租 于 2008-3-23 01:12 编辑 ]

lsyer

原帖由 微点卫士 于 2008-3-22 21:48 发表
为什么在可疑程序诊断里结束不了它的进程，也不能删除到隔离区里。

rootkit.................
看情况是允许加载了驱动了
加载了驱动就和微点平起平坐了
所以。。。。。。。

原帖由 黄金马甲出租 于 2008-3-22 22:00 发表
对于病毒来说这是一种新的ｒｏｏｔｋｉｔ方式，很狡猾

问题是一旦加载驱动 就很容易被破
不可Rollback动作
不明白微点为什么允许
至少来个提示什么的啊。。。
还有工程师是不是对内置的规则太信任了啊
很期望微点能有自定规则这块

微点卫士

感谢楼上的解答，11楼的兄弟你有福拉，继续用微点哦 。
我讨厌隐身的rootkit

黄金马甲出租

11楼可以到２６楼看，ｒｋ驱动是自删除了，把文件删掉后重启计算机就可以，其他的进程管理工具出名的都测试了，没用

wangjay1980

kblog.exed - Trojan.Win32.Agent.iqx

New malicious software was found in these files. Detection will be
included in the next update. Thank you for your help.

zongkai

McAfee报了

tanlimo

这东西果然牛，几款知名度比较高的反rootkit工具基本上都看不到它的进程，不过Rootkit Unhooker可以看见。

solcroft

发两张图

黄金马甲出租

我的ＲＫＵ５０９看不到进程，不知道是为什么