样本几个 密码virus

起点

各个

[ 本帖最后由 navigateqd 于 2006-12-3 21:28 编辑 ]

dragoonwing

第一个在绅博测试过了，除了红伞开高启发报
dop\dop.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [INFO]      The file was deleted!


其它的DRWEB、BD、卡巴统统不报

后面两个，红伞、DRWEB、BD、卡巴统统不报………………什么病毒这么厉害……

dragoonwing

运行了lassas，企图在system32目录下创建exe文件被拦截，看来是病毒。而smss还带有微软的版本号，运行毫无反映，应该不是病毒。

起点

这个lassas和smss都是牛人造的假dll文件
我来测试下这两个

dragoonwing

lass应该是，smss运行没反映，不知道起什么作用的…………看你的测试了。

起点

smss运行后确实没有任何反映

lassas则是解压缩的时候直接被Cyberhawk报了,具体看图

至于Cyberhawk锁定一分钟的问题在我这里怎么变成了一直无法删除?
重启看看能不能删掉                删掉了

[ 本帖最后由 navigateqd 于 2006-12-3 22:56 编辑 ]

起点

kaka的版主的分析,可能是我点了 deny的原因,没有他那么详细的结果
帖子地址http://forum.ikaka.com/topic.asp?board=28&artid=8223128



最近，这类病毒流行。今天看到的这个lsass.exe与早前见到的那个tel.xls.exe有所不同。


1、此毒不替换系统文件。
2、感染系统分区以外的所有.exe文件。
3、感染系统后释放的病毒文件及其所在目录如下：
（1）X:\WINDOWS\SYSTEM32\COM\LSASS.EXE
（2）X:\WINDOWS\SYSTEM32\COM\SMSS.EXE
（3）X:\WINDOWS\SYSTEM32\COM\~.EXE（运行后自动删除）
（4）X:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif（运行后自动删除，关闭系统前再次写入）。
（5）X:\AUTORUN.INF
（6）X:\PAGEFILE.PIF
（7）Y:\AUTORUN.INF
（8）Y:\PAGEFILE.PIF
【注】
X：系统分区
Y：其它分区
4、不感染软盘。
5、此毒在“禁止查看隐藏文件”方面似有缺陷。中招后，用户自己设置一下文件夹选项（图1），隐藏文件即刻暴露（图2）。
6、\SYSTEM32\COM\LSASS.EXE和\SYSTEM32\COM\SMSS.EXE两个进程相互保护。用SSM无法结束它们。用IceSword，需要几次操作才能完全结束这两个病毒进程。结束病毒进程后，病毒文件可直接删除（图3）
7、卡巴斯基今天的病毒库虽然查不到\SYSTEM32\COM\LSASS.EXE和\SYSTEM32\COM\SMSS.EXE；但能查到被其感染的.exe文件（图4）且可清除其中的病毒代码（图5）。
8、SREng被感染后，卡巴斯基虽然可清除其中的病毒，但经卡巴斯基杀毒后的SREng不能运行（因为SREng带自校验功能）。

[ 本帖最后由 navigateqd 于 2006-12-3 23:08 编辑 ]

dragoonwing

我们都是在第一步释放exe文件就拦截了，别人都是让病毒完全运行的分析结果。
这类病毒最近特别流行，看样子属于子母型病毒，源文件不感染系统依靠释放的文件来感染，这样杀毒软件总是只能发现子病毒，而源文件只有在第一次运行时候才能发觉。
这类病毒估计杀毒软件只有咖啡才能防御，其他安全软件FD软件应该可以完全防御，再就是微点或者Cyberhawk这类主动防御软件可以。（微点也有问题，绅博区我试过一个子母型，微点提示子病毒，对母病毒漏杀了，还是防御不完全，cyberhawk看起来就好多了）。
而普通杀毒软件和hips由于对文件释放监控不足，所以难以起到完全防御的作用。

起点

那些都是牛人啊,让病毒运行完
         改天我试试把每一步都点允许,顺便测试下Cyberhawk的undo功能
貌似他也就剩这么个功能了,没别的了

dragoonwing

原帖由 <i>navigateqd</i> 于 2006-12-4 17:29 发表<br />
那些都是牛人啊,让病毒运行完<br />
         改天我试试把每一步都点允许,顺便测试下Cyberhawk的undo功能<br />
貌似他也就剩这么个功能了,没别的了

<br />
你小心点，我试用的时候，理解cyberhawk的undo功能相当于其它杀软的从隔离区恢复隔离文档，也就是说你锁定了某病毒文件，用undo就解除锁定了………………………………………………………………