SEP MR3实机运行小邪邪发的毒

显示全部楼层 · 发表于 2008-10-18 10:13:15

SEP MR3默认安装，主防，启发，开到最高。。。直接运行病毒。。。SEP毫无反应。。。直接被强制关机。。。。重启，SEP除防火墙，其余模块均损坏，并且无法修复。。。。毒包如下。。。。

由于试毒心切，装完SEP，忘记升级病毒库了，再说这是对SEP主防，SONAR和自我保护的一种测试，在病毒没入库的情况下，看他能有多大的防护能力。。。现在病毒始终走在病毒库的前面，我们不能太多地依赖病毒库，有人说哪那么容易中新病毒的，我只想说，不怕一万只怕万一。。。呵呵

纯属测试玩耍。。。无BS SEP之意，请各位高手不要口水。。。只需提供自己的见解

样本已转至样本区http://bbs.kafan.cn/thread-350354-1-1.html

再次提醒非样本区不要放样本！如需提供样本请扔样本区，再把链接贴过来。
这次我把样本转到样本区了，下次经扣分提醒仍不主动编辑掉样本的，扣1魅力处理。

－－xuange

[ 本帖最后由 xuange 于 2008-10-19 00:58 编辑 ]

显示全部楼层 · 发表于 2008-10-18 10:16:10

正常
symantec的防护还没有到KIS09那样厉害。

显示全部楼层 · 发表于 2008-10-18 10:17:33

病毒还是太厉害了！SEP都防不住！看来还要加强了！

显示全部楼层 · 发表于 2008-10-18 10:21:03

这个病毒貌似很多都已经报了~！

显示全部楼层 · 发表于 2008-10-18 10:22:15

有这么厉害的病毒哈，。。。

显示全部楼层 · 发表于 2008-10-18 10:22:48

SEP的防护力的确不能和卡巴比~~~

PS:貌似这个毒已经入库了，LZ是怎么运行起来的~~~

[ 本帖最后由 wjhstu-VxG 于 2008-10-18 10:25 编辑 ]

显示全部楼层 · 发表于 2008-10-18 10:22:52

前天的NIS就入库了，没法测

显示全部楼层 · 发表于 2008-10-18 10:23:19

如果没记错的话，删除windows根目录和system32下的一个exe文件、deep.sys和dat（dll缓存里sys也插入了一个），修复被sys所HOOK的SSDT以删除其相关服务，再修复其相关的注册表键值就可以了。手工修复一下。

尽量在虚拟机里运行吧，不要实机运行病毒。这个病毒如果没防住，不要说SEP，MVSE也一样被破坏掉。

小邪邪和EQ2都发了？

显示全部楼层 · 发表于 2008-10-18 10:26:01

这个东西我试过了：MVSE可以防住的

已由访问保护规则禁止 E:\Downloads\install1\install1.exe C:\WINDOWS\system32\brastk.exe
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件已阻止的操作: 创建

已由访问保护规则禁止E:\Downloads\install\install1.exe \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \REGISTRY\USER\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Run
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe C:\WINDOWS\system32\dllcache\figaro.sys
用户定义的规则:FD 禁止在windows下创建可疑的SYS驱动已阻止的操作: 创建

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \Registry\Machine\System\CurrentControlSet\Control\Session Manager 用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

已由访问保护规则禁止 E:\Downloads\install1\install1.exe E:\Downloads\install1\delself.bat
用户定义的规则:FD 禁止在本机创建有风险的BAT文件已阻止的操作: 创建

已由访问保护规则禁止 E:\Downloads\install1\install1.exe \REGISTRY\USER\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
用户定义的规则:RD 禁止可疑的程序访问注册表(项) 已阻止的操作: 写入

显示全部楼层 · 发表于 2008-10-18 10:29:13

由于试毒心切，装完SEP，忘记升级病毒库了，再说这是对SEP主防和自我保护的一种测试，在病毒没入库的情况下，看他能有多大的防护能力。。。现在病毒始终走在病毒库的前面，我们不能太多地依赖病毒库，有人说哪那么容易中新病毒的，我只想说，不怕一万只怕万一。。。呵呵

[讨论] SEP MR3实机运行小邪邪发的毒

评分

本帖子中包含更多资源

回复 8楼曲中求的帖子

回复 6楼 wjhstu-VxG 的帖子

[讨论] SEP MR3实机运行小邪邪发的毒

评分

本帖子中包含更多资源

回复 8楼 曲中求 的帖子

回复 6楼 wjhstu-VxG 的帖子

回复 8楼曲中求的帖子