Shadow Defender 1.1.0.275被穿！

fufuji97

system.exe加载一个驱动HBkernel32.sys,一个服务HBservice32,一个启动项
system.exe，很奇怪那个驱动马上就没了，另一个userinit.exe应该是木马下载器，
可是根本啥都没下载，我在影子2008下测的，重启未发现穿透，感觉sd凭这两个
样本也不会，严重怀疑样本只是部分病毒母体

随风2008

到底是不是真的被穿了啊

noldna

今天更提取了新的样本大家测试下

fufuji97

原帖由 noldna 于 2008-11-5 12:54 发表
今天更提取了新的样本大家测试下

你新给的多是产生物，与穿透没关系，究竟是哪个程序能加载驱动，替换userinit.exe，也就是你刚开始执行了哪个程式导致的
后果，那个才是母体（或者说前期母体）

fufuji97

原帖由 noldna 于 2008-11-5 13:03 发表



样本不全的情况下，把userinit.exe复制到system32下试试

病毒总不会无缘无故的替换userinit.exe吧，你给的样本都是独立的，互相不联系，按理说穿透要有一系列动作的，
比如先加载驱动干掉安全软件，再替换，再下载木马，这个是哪个程序在调动，才是关键，才能找到母体

noldna

原帖由 fufuji97 于 2008-11-5 13:10 发表


病毒总不会无缘无故的替换userinit.exe吧，你给的样本都是独立的，互相不联系，按理说穿透要有一系列动作的，
比如先加载驱动干掉安全软件，再替换，再下载木马，这个是哪个程序在调动，才是关键，才能找到母体

嗯，360安装后运行不了，具体的病毒母体不好提取，估计运行后就释放成几个文件了，是有个system.exe加入启动项了，具体的哪个驱动文件还没找到

keiz

我早就这样想了  所以我楼上才会那样回

运行前我大概看了下 那样本userinit.exe应该是事后的

除非机器狗具备感染的能力  不过这样有个问题

userinit.exe成了狗  是否具备下载者的能力

因为狗的目的是让userinit.exe成一个下载者才对啊

keiz

另外忘了說 我是fat32

fufuji97

原帖由 keiz 于 2008-11-5 13:40 发表
我早就这样想了  所以我楼上才会那样回

运行前我大概看了下 那样本userinit.exe应该是事后的

除非机器狗具备感染的能力  不过这样有个问题

userinit.exe成了狗  是否具备下载者的能力

因为狗的目的是让u ...

估计开机加载后就不退出了吧，等着联网

labi05

再按个杀毒不就得了