收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 貌似中了,过红伞,动作太多用comodo结束进程
1234下一页
返回列表 发新帖
楼主: qwerasdf123
 收起左侧

[病毒样本] 貌似中了,过红伞,动作太多用comodo结束进程

[复制链接]
xiaojinglf
发表于 2008-6-4 19:45:33 | 显示全部楼层
C:\WINDOWS\system32\Drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wpcap.dll
这几个都是被正常的文件winpcap的组件
那个C:\WINDOWS\system32\svdhost.exe才是坏东西。利用winpcap获得网络资源和数据。
回复

举报

qigang
发表于 2008-6-4 19:57:15 | 显示全部楼层

1/0

RS20.47.22未杀!
回复

举报

qigang
发表于 2008-6-4 19:59:51 | 显示全部楼层

6/0

原帖由 电影结束了 于 2008-6-4 08:23 发表
帮你补上。。。。
5个。。。
AVK06的BD全挂



RS20.47.22未杀!
回复

举报

BING126
头像被屏蔽
发表于 2008-6-4 20:54:54 | 显示全部楼层
McAfee  MISS
回复

举报

allinwonderi
发表于 2008-6-4 21:00:57 | 显示全部楼层

ArcaVir2008, F-Prot 4.4.4

MISS
回复

举报

ㄚ一
发表于 2008-6-5 00:12:22 | 显示全部楼层
2008/6/5 W 12:09:22        Placed in group        Trusted/Microsoft               
2008/6/5 W 12:09:25        Create        C:\WINDOWS\system32\wpcap.dll        Denied: KLSystemData/KLSystemFiles/SystemDll       
2008/6/5 W 12:09:25        Create        C:\WINDOWS\system32\packet.dll        Denied: KLSystemData/KLSystemFiles/SystemDll       
2008/6/5 W 12:09:25        Create        C:\WINDOWS\system32\Drivers\npf.sys        Denied: KLSystemData/KLSystemFiles/Drivers       
2008/6/5 W 12:09:25        Create        C:\WINDOWS\system32\svdhost.exe        Denied: KLSystemData/KLSystemFiles/SystemExe
2008/6/5 W 12:10:17        Modification        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices        Denied: KLSystemData/KLStartupRegKeys/Main_Run       
2008/6/5 W 12:10:18        Modification        hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        Denied: KLSystemData/KLStartupRegKeys/Main_Run
回复

举报

sam.to
发表于 2008-6-5 00:46:38 | 显示全部楼层
已刪除: 病毒 Net-Worm.Win32.Kolab.xj        檔案: C:\Documents and Settings\kato9096\桌面\test0.10\test0.10.exe//Armadillo

[ 本帖最后由 kato9096 于 2008-6-5 00:48 编辑 ]
回复

举报

xiaojinglf
发表于 2008-6-6 21:15:45 | 显示全部楼层
C:\WINDOWS\system32\svdhost.exe是整个病毒控制文件
该病毒运行后,会删除windows自动更新的服务wuauserv。这个很少人发现
我没有用eq的沙盘。
先关闭小红伞监控。任病毒运行。整个过程eq也没有崩溃。并且我选择的都是允许执行。
运行完成后,svdhost企图访问网络,我用防火墙禁止了。

此病毒创建注册表键,企图读取"Microsoft 历史自动完成列表"用以监视用户名和密码。这个要注意。

使用小红伞扫描器扫描c盘,结果首先内存扫描发现svdhost进程,小红伞结束该进程。然后扫描进程继续扫描注册表,发现注册表run键的Windows Sound值,小红伞提示删除。此值被删除。(但遗憾的是RunServices\Windows Sound还有没有查出并删除)。小红伞随后顺利的删除了病毒体文件svdhost.exe。至此,实际上小红伞已经顺利清楚了此病毒的病毒体。可以看出,小红伞v8已经加入了注册表删除能力和结束病毒进程的能力了。唯一缺陷是对于RunServices注册表键没有进行搜索。另外发现很多安全工具都不搜索RunServices,很是意外,包括有autoruns、冰刃、wsyscheck、syscheck等。

[ 本帖最后由 xiaojinglf 于 2008-6-6 21:20 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a256886572008
发表于 2008-6-6 21:40:43 | 显示全部楼层

回复 28楼 xiaojinglf 的帖子

C:\WINDOWS\system32\svdhost.exe是整个病毒控制文件
该病毒运行后,会删除windows自动更新的服务wuauserv。这个很少人发现
-------------
攔截病毒  訪問服務管理器  即能防住
回复

举报

xiaojinglf
发表于 2008-6-7 01:32:29 | 显示全部楼层
当然拦截了就可以防住
我是故意放行让病毒发作的。因为是测试嘛
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-22 12:19 , Processed in 0.094227 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表