病毒winupgro.exe全球肆虐技压群雄，可耐唯败东方微点

softkiller

以后卡饭不能发这种样本了 这么多人在那扫描说能防 无语居然还会有NC说关了江民运行还没事

黄金马甲出租

自己看图吧，做好测试不是容易的事情


样本第一次运行

样本第二次运行

蓝屏后就一直蓝的


[ 本帖最后由 黄金马甲出租 于 2009-1-19 19:45 编辑 ]

T-G001

原帖由 黄金马甲出租 于 2009-1-19 19:43 发表
自己看图吧，做好测试不是容易的事情

445802
样本第一次运行
445803
样本第二次运行
445804
蓝屏后就一直蓝的
445805

VPC下的测试，2009.01.05的kv2009，退出江民后运行，表面无反应，然后重启，江民正常启动，提示


阻止后病毒驱动被删除，该毒可以破坏虚拟机，环境不同，程度不同，做好测试确实不是容易的事情。

回41楼，不要动不动说别人NC，这样不会显得自己很聪明哈。

黄金马甲出租

PEB is paged out (Peb.Ldr = 7ffdc00c).  Type ".hh dbgerr001" for details

PEB is paged out (Peb.Ldr = 7ffdc00c).  Type ".hh dbgerr001" for details

PROCESS_OBJECT: 81deada0

IMAGE_NAME:  csrss.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  0

MODULE_NAME: csrss

FAULTING_MODULE: 00000000

PROCESS_NAME:  WINFILSE.EXE

BUGCHECK_STR:  0xF4_WINFILSE.EXE

DEFAULT_BUCKET_ID:  DRIVER_FAULT

LAST_CONTROL_TRANSFER:  from 805d12e7 to 804fac37

STACK_TEXT:  
f6cf1cc4 805d12e7 000000f4 00000003 81deada0 nt!KeBugCheckEx+0x1b
f6cf1ce8 805d21eb 805d2140 81deada0 81deaf14 nt!PspCatchCriticalBreak+0x75
f6cf1d18 f60db9f9 81deafe8 00000000 f6cf1d64 nt!NtTerminateProcess+0x7d
WARNING: Stack unwind information not available. Following frames may be wrong.
f6cf1d34 f60a6452 000001c8 00000000 00000000 SysGuard+0x9f9
f6cf1d54 8054160c 000001c8 00000000 0012fbe8 KSysMon+0x6452
f6cf1d54 7c92eb94 000001c8 00000000 0012fbe8 nt!KiFastCallEntry+0xfc
0012fbe8 00000000 00000000 00000000 00000000 0x7c92eb94


STACK_COMMAND:  kb

FOLLOWUP_NAME:  MachineOwner

FAILURE_BUCKET_ID:  0xF4_WINFILSE.EXE_IMAGE_csrss.exe

BUCKET_ID:  0xF4_WINFILSE.EXE_IMAGE_csrss.exe

08红伞威点

原帖由 08红伞威点 于 2009-1-17 14:54 发表
File ID  Filename Size (Byte) Result
25234446  MAX.nfo  114.55 KB  UNDER ANALYSIS
25234445  xbundlerMain.dll  43.54 KB  UNDER ANALYSIS

File ID	Filename	Size (Byte)	Result
25234446	MAX.nfo	114.55 KB	CLEAN
25234445	xbundlerMain.dll	43.54 KB	DAMAGED FILE (UNKNOWN)

红伞上报回复

17 Jan 2009 07:43 +0100

19 Jan 2009 10:02 +0100

saga3721

原帖由 T-G001 于 2009-1-19 14:09 发表
“我期待在红伞卡巴NOD查不到的样本下面可以看到江民查到的情景，就象微点那样。”
原来如此。。。江民用户比较低调，不会像某些fans那样喜欢显摆以证明自己的选择或怀疑自己的选择。

你说从没看到过，也只是你没 ...

我没见过你见过？那好你能指出吗？我的在线时间比你短吗？这方面你应该学学江民的低调少信口开河

T-G001

原帖由 saga3721 于 2009-1-21 00:54 发表

我没见过你见过？那好你能指出吗？我的在线时间比你短吗？这方面你应该学学江民的低调少信口开河

明白你的意思了,红伞或卡巴或nd32扫描不出的"未知病毒"用江民肯定也是扫不出的,因为在红伞或卡巴或nd32miss的帖子下面找不到江民kill的跟贴(甚至从没看到过),您的逻辑很强大.

在红伞或卡巴或nd32miss的帖子下面总是有微点报未知木马的跟贴,所以微点很强大,可以防住,而江民是没有对付未知病毒的能力的.我觉得这才是真正的信口开河.

您的学习愿望很强,因为在线时间很长,却只能从帖子的表面看问题,得出似是而非的结论.也许你还可以从这个帖子得出又一个结论,不过我不再讨论了.

wcj20236

都别吵啦。。。。。。。。。。。。。。。。谁愿意用谁测试就用谁，哪个强悍不重要，重要的是积极参与测试。

saga3721

我的意思你从来没能理解：微点查到其他杀软漏过的毒是建立在也能查到绝大多数其他杀软能查到的毒的基础上说的
你的逻辑是说江民不但能查到的其他杀软漏的毒而且数量不比微点少，但是因为某种理由比如说“低调”让使用它的“弟子们”从来也不愿意别人看见？
你要证明的不是存在这种可能性而是确实地拿出证明来，尤其当你所要证明的是它们的强弱的时候，懂了吗？
你这种逻辑能有一分一毫的说服力就用不着发明迷药了

[ 本帖最后由 saga3721 于 2009-1-21 12:38 编辑 ]

linyu620

我的处理方法比他简单http://hi.baidu.com/linyu620/blog/item/42b6fe24570eec6734a80ff5.html