局长的黑名单真强大，允许病毒运行，但病毒无能为力

郭襄

过大多数杀软,KIS2009虽主防挡住了一些,但还是会中http://bbs.kafan.cn/viewthread.php?tid=310554&extra=&page=1

在这里看到一个样本，下来玩玩，运行

先是要在SYSTEM32目录生成NOTEPVO.EXE，允许，
再要在C盘根目录下生成NOTEPVO.EXE，允许，
再要在C盘根目录下创建成AUTORUN.INF，允许，
然后是D盘生成NOTEPVO.EXE和AUTORUN.INF，允许，
往后是在E F G Z盘分别生成NOTEPVO.EXE和AUTORUN.INF，因为那些盘有重要东东，故拦截了
然后是要求在SYSTEM32目录生成SetupDel.bat文件，没有允许，然后，程序被结束。

进入SYSTEM32目录下查看，没有生成东西，C盘根目录下也没有生成东西
D盘下生成了NOTEPVO.EXE和AUTORUN.INF，删掉了。

对局长真是佩服得WTTD

[ 本帖最后由 郭襄 于 2008-8-20 23:03 编辑 ]

郭襄

说明一下，局长的黑名单中并没有包含：SetupDel.bat NOTEPVO.EXE和AUTORUN.INF这三个文个名，大小写均无
我是VISTA系统，是隔离了c:\windows\system32\dllhost.exe后，无法往系统目录创建文件，不知道XP是否如此

[ 本帖最后由 郭襄 于 2008-8-21 09:39 编辑 ]

郭襄

今天早上无事，又到 http://bbs.kafan.cn/thread-280903-1-1.html 此处下了一个毒来运行，这个的动作非常多
比如：
1、PROTECT FILES FOLDERS
\Device\NamedPipe\lsass
*\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
\Device\Nsi
\Device\Afd

2、PROCESS TERMINATINOS
D:\Program Files\Mozilla Firefox\firefox.exe

3、WINDOWS MESSAGES
C:\Program Files\COMODO\Firewall\cfp.exe
以上动作没有敢放行

4、PROTECT FILES FOLDERS中放行了以下：
C:\Windows\System32\drivers中生成beep.sys，允许
C:\Windows\System32中生成SiZhu.exe，允许

然后病毒自已结束了

结果是：
1、C:\Windows\System32中没有生成SiZhu.exe，
2、C:\Windows\System32\drivers中成功生成了beep.sys

不知道为什么能在drivers生成驱动，比较纳闷


补充：能够在C:\Windows\System32\drivers中写入beep.sys
但无法把BEEP.SYS剪切到别处，也无法删除，很郁闷。
把dllhost.exe从黑名单中删除也不能做到，不知道为什么？准备去PE了

=====================

刚刚从PE下回来，PE下也不能删除，呵呵，在想办法

====================
刚刚把所有者从TrustedInstaller改为自已的用户名，取得所有权后，删除掉了


＝＝＝＝＝＝＝＝＝＝＝＝
看来不能乱放行毒，呵呵

[ 本帖最后由 郭襄 于 2008-8-21 11:12 编辑 ]

郭襄

样本帖中说到系统时间被修改
不知道如果有这样的动作，毛豆是如何提示的
我没有见到提示
同时我在组策略中也禁止了任何用户修改系统时间，没有发现系统时间被改

大鱼弱智

系统时间毛豆有保护的!

郭襄

刚刚又再运行了一次，允许在SYSTEM32目录生成SetupDel.bat，结果是：无法生成

一凡

LZ知道局长的厉害了吧
技术达人不是吹的

郭襄

刚刚运行D盘生出来的NOTEPVO.EXE，这次给的是安装和升级的权限，然后在D E F G Z盘生成了NOTEPVO.EXE和AUTORUN.INF，但系统盘仍然无法写入。

huai168an

楼主胆子真大啊

如果黑名单中没有类似的程序名规则与autorun.inf规则的话，后果。。。。。。。。

黑名单也可以看做一种“病毒库”，也要“更新”的，没匹配的“特征码”的话。。。

郭襄

原帖由 huai168an 于 2008-8-20 23:23 发表
楼主胆子真大啊

如果黑名单中没有类似的程序名规则与autorun.inf规则的话，后果。。。。。。。。

黑名单也可以看做一种“病毒库”，也要“更新”的，没匹配的“特征码”的话。。。

呵呵，刚刚查了一下，确实没有autorun.inf，SetupDel.bat，NOTEPVO.EXE，大小写均无
我放行了，日志里也并没有看到有拦载这三个东东
关键是隔离了c:\windows\system32\dllhost.exe后，不能往系统目录写入东西

[ 本帖最后由 郭襄 于 2008-8-20 23:35 编辑 ]