唉，确认SD 275被穿透，有样本。

显示全部楼层 · 发表于 2008-11-6 13:53:34

老K谈谈体会，我不觉得这个病毒有多厉害啊，跟我原来测的穿透病毒比，水平一般，是不是穿透驱动还不赖呢

显示全部楼层 · 发表于 2008-11-6 13:58:37

沒聯網運行a220.exe後就準備reset了
因為接下來我啥也不能幹啊

显示全部楼层 · 发表于 2008-11-6 14:00:15

原帖由 keiz 于 2008-11-6 13:58 发表
沒聯網運行a220.exe後就準備reset了
因為接下來我啥也不能幹啊

呵呵，我在影子2008下，可是把所有34个驱动和dll文件都保存下来了，

显示全部楼层 · 发表于 2008-11-6 14:02:53

每个木马都会重新加载一遍HBKernel32.sys，然后就是dll文件挂钩启动项，最后自删，只有一个变成了alxlin.exe

显示全部楼层 · 发表于 2008-11-6 14:08:23

powershadow2008破解版有問題  那試用版有沒有問題

如果試用版有問題  那還搞試用幹啥啊

另外我猜辛巴應該可以防住這個

因為他說他不是filter的

不過他應該防不住那種底層磁盤的  因為他還沒注意到

显示全部楼层 · 发表于 2008-11-6 14:11:56

原帖由 keiz 于 2008-11-6 14:08 发表
powershadow2008破解版有問題  那試用版有沒有問題

如果試用版有問題  那還搞試用幹啥啊

另外我猜辛巴應該可以防住這個

因為他說他不是filter的

不過他應該防不住那種底層磁盤的  因為他還沒注意到

我哪里知道官方出试用版是咋想的，反正我没用过，呵呵

显示全部楼层 · 发表于 2008-11-6 14:20:13

晕。楼主给的样本又换了，跟我昨天下载的不一样

显示全部楼层 · 发表于 2008-11-6 14:51:40

原帖由 一刀大师 于 2008-11-5 19:52 发表
SD、RVS全被打穿了。下载了楼主、woods12345和宋版提供的样本，在虚拟机中试了下，没有不破的影子啊
下图是三个样本：
392521
SD275全盘影子下运行样本，重启后，多出三个进程：debug.exe 、userinit.exe 、 ...

能否说详细点，病毒创建userinit.exe路径是哪里，debug.exe呢？你的系统没提示吗？我说怎么跟我不一样呢，原来你说的都是重启后，
那个我觉得不重要，没穿透的话这些都不会发生

显示全部楼层 · 发表于 2008-11-6 15:34:14

呵呵，他们肯定在不停的更换木马下载器……

debug.exe，userinit.exe都是在system32下的。另外还有几个系统文件被穿透，所以会与运行这个假dubug.exe。

显示全部楼层 · 发表于 2008-11-6 16:10:55

郁闷啊 SD都被穿透了啊~

[讨论] 唉，确认SD 275被穿透，有样本。