查看: 6115|回复: 37
收起左侧

[微点] 据说这个下载者可以穿微点和他的墙

 关闭 [复制链接]
xiayang12
发表于 2008-8-13 18:20:45 | 显示全部楼层 |阅读模式
对微点来说貌似还是免杀的,运行之后你会发现你的temp文件里面多了一个9M大的05版微点,算作礼物 ^_^

     应该还会自动运行的?~~(05版的微点市面上很难找了,一般做实验之用)


     一个月前就上报微点官方了,不过好像只提取了特征码。?


      貌似免杀之后也过卡巴2009和他的墙。

     有哪位高手能详细分析下这个下载者?我现在都提供样本了啊
     最好搞个分析报告出来 (注意:这不是给你们拿杀软去查毒的)

       你们不是要样本嘛?加了个小壳,可以随便脱的。


   免杀之后貌似什么都过的,不过瑞星杀DLL,可以把DLL导出免杀即可。

[ 本帖最后由 xiayang12 于 2008-8-13 23:58 编辑 ]

评分

参与人数 1魅力 +1 收起 理由
polly5771 + 1 辛苦...不要负魅力了^_^

查看全部评分

spaceplane
发表于 2008-8-13 18:27:21 | 显示全部楼层
我来摸摸这个样本
xiayang12
 楼主| 发表于 2008-8-13 18:49:45 | 显示全部楼层

回复 2楼 spaceplane 的帖子

你摸的怎么样了?
polly5771
头像被屏蔽
发表于 2008-8-13 18:52:56 | 显示全部楼层

第一阶段

写dll控制IE。调用cmd自杀


[ 本帖最后由 polly5771 于 2008-8-13 19:00 编辑 ]
polly5771
头像被屏蔽
发表于 2008-8-13 18:54:36 | 显示全部楼层

第二阶段:下载并自动运行

启动下载过程。几分钟后完成







[ 本帖最后由 polly5771 于 2008-8-13 19:01 编辑 ]
polly5771
头像被屏蔽
发表于 2008-8-13 19:00:26 | 显示全部楼层
在我这里,微点确实被过了
开着防火墙,可以下载并运行.
xiayang12
 楼主| 发表于 2008-8-13 19:00:34 | 显示全部楼层
人人都装毛豆,人人不会中毒。

这个病毒貌似利用了DLL劫持技术?

其实我希望看到的是更详细的什么
xiayang12
 楼主| 发表于 2008-8-13 19:01:11 | 显示全部楼层

回复 6楼 polly5771 的帖子

你可以再试试卡巴2009
polly5771
头像被屏蔽
发表于 2008-8-13 19:04:33 | 显示全部楼层
我的虚拟机里装卡巴09就死机....

用毛豆只是为了分析样本行为。它是控制了IE下载文件。
显然,IE下文件是很正常的动作,微点就没报

很XE的做法! 佩服佩服

但有一点:这次下来的不是病毒吧。如果downloader下载病毒并发作,估计微点会对下载物作出反应。

点饭们也不必过度紧张,官方快点解决就是了!

这个只能算是演示程序。不是真正意义上的病毒。
但它仍然有实用价值-------穿墙。这是我们不愿意看到的。智能HIPS对于个别行为不敏感是根源。


毛豆是很好的安软。手动HIPS就喜欢它了 不过对于一般用户,杀软更合适些。手动HIPS当作工具是很合适的,但拿来防护系统,还是需要一定水平。
我的水平,只能用杀软


[ 本帖最后由 polly5771 于 2008-8-13 20:53 编辑 ]
主动防御
发表于 2008-8-13 19:05:08 | 显示全部楼层
polly5771版主能试试用KIS2009拦截吗?我想看看KIS2009拦截不。我没装虚拟机,呵呵,麻烦了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:32 , Processed in 0.143351 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表