突破卡巴7.0

xiayang12

昨天发了突破卡巴2009的帖子，不过由于截图不全没有把结果发出来给大家看，并且由于忘记了是哪台肉鸡，一时不能再进行一次实验，
            下次成功之后，即贴图奉上 http://bbs.kafan.cn/viewthread.php?tid=281374

             这次写的突破卡巴2007贴图完全，请大家细看：

            本人先将两种下载者都做了免杀（免杀版本我不会放出来，不免杀的最后我给出下载地址，你们自行做免杀实验，无后门），
           然后拿一台肉鸡做了实验：
           A：第一个下载者我命名为超级小MOUSE
            看图：
           接着
    根本不提供你删除

   这是第3张，也就是下载者开始下载我的金狐QQ（不免杀，我故意拿这个做标记）
      第4张：
      第5张：主动防御似乎提供恢复产生的修改；
      第6张：恢复失败；





           应该是轻松突破把（不论你怎么报，你还是下载去网上下载了我的木马）。
           这个下载者生成器的下载地址是：http://xiayang1221.v1.42mf.cn/0623.rar，你可以用它生成我实验用的下载者。
           卡巴是自我保护很好，我曾亲眼看过瑞星，超级巡警在这个下载者淫威之下挂掉的。

          本人对卡巴2009的查毒方式有点疑惑，帖子在：http://bbs.kafan.cn/viewthread.php?tid=280929
          希望高手解答呀^_^

       本人很菜鸟，用的都是别人的工具，只是因为对这个感兴趣

[ 本帖最后由 xiayang12 于 2008-7-7 11:43 编辑 ]

wei023cn

图看不见得说

inf

确实需要补图

电影结束了

图挂了。。
那东西应该是个黑客工具吧

电影结束了

行为太多了...
TF砍

xiayang12

我说了，免杀的版本我不会放出来，我还要玩鸽子呢。

a256886572008

病毒名称：Trojan-Downloader.Win32.Delf.jll (Kaspersky)

病毒大小：75.0 KB

病毒类型：AV  終結者

传播方式：未知

MD5：2315442605E475BF53312D80BB178E56

测试平台：XP SP3

测试工具(hips)：EQSandbox

危害程度：中

病毒分析：
1.創建副本到 %windir%\system32 下

2006-07-04 14:15:36    建立檔案      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
檔案路徑:C:\WINDOWS\system32StopAllWorw.exe
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*->*

2.創建 cookie

2006-07-04 14:15:50    建立檔案      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
檔案路徑:C:\Documents and Settings\Roger\Cookies\roger@baidu[1].txt
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*->*

3.創建後又刪除

2006-07-04 14:15:51    建立檔案      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
檔案路徑:C:\WINDOWS\system32\Contxt.dat
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*->*

4.命令行運行IE

2006-07-04 14:15:51    執行應用程序      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
檔案路徑:C:\Program Files\Internet Explorer\IEXPLORE.EXE
指令列:http://www.xx.com/tj.htm(婦漪
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*

5.IE 做了一堆事後，被  主程序結束

2006-07-04 14:16:42    結束/暫停程序      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
目標程序:C:\Program Files\Internet Explorer\IEXPLORE.EXE
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*

6.隱藏文件

2006-07-04 14:16:45    修改登錄檔內容      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:Hidden
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*

7.IFEO 映像劫持

2006-07-04 14:16:45    建立登錄檔值      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
登錄檔名稱:[Key]
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*

8.隱藏自己

2006-07-04 14:16:53    修改檔案      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
檔案路徑:(隱藏檔案或資料夾)D:\桌面\virus\0623\Mouse.exe
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*->*

9.開始對特定安全軟件的窗口進程，發送垃圾消息

2006-07-04 14:17:16    程序間消息操作      操作:使用沙箱操作
程序路徑:D:\桌面\virus\0623\Mouse.exe
目標程序:C:\Program Files\COMODO\Firewall\cfp.exe
消息類型:32770褞Ā
觸犯規則:應用程序規則->Sandbox->D:\桌面\virus\*

防范对策和规则：

1.直接把 IE 加入沙盤

2.阻止 IFEO

3.阻止對  安軟的窗口進程發消息

4.隱藏文件的註冊表，要阻止被修改

zwl2828

The requested object is INFECTED with the following viruses: Trojan-Downloader.Win32.Delf.jll

IllusionWing

UG都能防（不是扫描）

syfwxmh

卡巴2009 特征码杀掉~
卡巴2009 HIPS KILL