一种新的u盘文件夹病毒！！！

显示全部楼层 · 发表于 2008-12-7 10:52:27

囧，我竟然放了低级错误····
看见文件夹图标，竟然双击运行了·····

怎么办啦？

显示全部楼层 · 发表于 2008-12-7 11:01:39

nis miss～～

TO SSR

显示全部楼层 · 发表于 2008-12-7 11:04:07

原帖由 echen 于 2008-12-6 19:57 发表
呵呵，这种场面见怪不怪了。只是样本比较新而已。说难听点，新的病毒哪个杀软能防？？只有微点。别拿HIPS出来说什么 HIPS报了什么什么，那是报动作，什么程序没动作啊？所以HIPS的请勿来测试区了。谢谢啊

也别 ...

你弄错了
这里是样本区,不是测试区,测试区在外头
而且某些动作正当软件是不会做的

显示全部楼层 · 发表于 2008-12-7 11:12:00

强毒，希望高手进行行为分析

显示全部楼层 · 发表于 2008-12-7 11:22:34

晕，重启后发现没有启动项？？

显示全部楼层 · 发表于 2008-12-7 13:21:59

使用EQ（个人修改后的大将军安静规则）分析：

2008-12-07 13:04:58 系统设备控制    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\病毒样本\DRIVER.exe
系统设备名称:\Device\NamedPipe\wkssvc
触发规则:应用程序规则->例外规则->*\Documents and Settings\*\桌面\*.exe

2008-12-07 13:04:59 系统设备控制    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\病毒样本\DRIVER.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:应用程序规则->例外规则->*\Documents and Settings\*\桌面\*.exe

2008-12-07 13:04:59 系统设备控制    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\病毒样本\DRIVER.exe
系统设备名称:\Device\MountPointManager
触发规则:应用程序规则->例外规则->*\Documents and Settings\*\桌面\*.exe

2008-12-07 13:04:59 创建文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\桌面\病毒样本\DRIVER.exe
文件路径:C:\WINDOWS\system32\winweb.exe
触发规则:所有程序规则->可执行文件规则->%windir%\*.exe

病毒已经装了驱动，卸载起来还真有点麻烦。。。

显示全部楼层 · 发表于 2008-12-7 13:25:49

不敢自称高手测试下一会儿发结果

显示全部楼层 · 发表于 2008-12-7 13:31:59

呵呵，等待结果，看看是不是有新的注入行为

显示全部楼层 · 发表于 2008-12-7 14:04:02

费解了虚拟机测试除了生成一个进程winweb.exe没发现任何东西。。。。。。

显示全部楼层 · 发表于 2008-12-7 14:17:09

文件监视记录结果：
autorun.inf.exe 生成文件：
C:\WINDOWS\SYSTEM32\WINWEB.EXE
winweb.exe 生成文件：
C:\WINDOWS\Prefetch\winweb.exe-2BA65358.pf

[病毒样本] 一种新的u盘文件夹病毒！！！