据说这个下载者可以穿微点和他的墙

xiayang12

对微点来说貌似还是免杀的，运行之后你会发现你的temp文件里面多了一个9M大的05版微点，算作礼物 ^_^

     应该还会自动运行的？～～(05版的微点市面上很难找了，一般做实验之用）


     一个月前就上报微点官方了，不过好像只提取了特征码。？


      貌似免杀之后也过卡巴2009和他的墙。

     有哪位高手能详细分析下这个下载者？我现在都提供样本了啊
     最好搞个分析报告出来 （注意：这不是给你们拿杀软去查毒的）

       你们不是要样本嘛？加了个小壳，可以随便脱的。


   免杀之后貌似什么都过的，不过瑞星杀DLL，可以把DLL导出免杀即可。

[ 本帖最后由 xiayang12 于 2008-8-13 23:58 编辑 ]

spaceplane

我来摸摸这个样本

xiayang12

你摸的怎么样了？

polly5771

写dll控制IE。调用cmd自杀


[ 本帖最后由 polly5771 于 2008-8-13 19:00 编辑 ]

polly5771

启动下载过程。几分钟后完成







[ 本帖最后由 polly5771 于 2008-8-13 19:01 编辑 ]

polly5771

在我这里，微点确实被过了
开着防火墙，可以下载并运行．

xiayang12

人人都装毛豆，人人不会中毒。

这个病毒貌似利用了DLL劫持技术？

其实我希望看到的是更详细的什么

xiayang12

你可以再试试卡巴2009

polly5771

我的虚拟机里装卡巴09就死机....

用毛豆只是为了分析样本行为。它是控制了IE下载文件。
显然，IE下文件是很正常的动作，微点就没报

很XE的做法！ 佩服佩服

但有一点：这次下来的不是病毒吧。如果downloader下载病毒并发作，估计微点会对下载物作出反应。
点饭们也不必过度紧张，官方快点解决就是了！

这个只能算是演示程序。不是真正意义上的病毒。
但它仍然有实用价值-------穿墙。这是我们不愿意看到的。智能HIPS对于个别行为不敏感是根源。


毛豆是很好的安软。手动HIPS就喜欢它了 不过对于一般用户，杀软更合适些。手动HIPS当作工具是很合适的，但拿来防护系统，还是需要一定水平。
我的水平，只能用杀软

[ 本帖最后由 polly5771 于 2008-8-13 20:53 编辑 ]

主动防御

polly5771版主能试试用KIS2009拦截吗？我想看看KIS2009拦截不。我没装虚拟机，呵呵，麻烦了