···一个“比较厉害的病毒”，实机测试

抓抓

-----------------------------------------------------

               最新测试在16楼

-----------------------------------------------------

没事又去了样本区找了几个病毒试机，，
发现没几个“像样”的，，


不过还是被其中一个吓得半死，，现在就看看是个什么样的角色吧：

样本连接：http://bbs.kafan.cn/thread-411913-1-1.html
样本下载：




---------------------------------------------
测试环境：实机。
规则：《给病毒們一次机会吧II》
---------------------------------------------

补充说明一下：
每次测试时都是先将隔离区清空，尽可能地给病毒一个公平对决的环境，，，
我只把E、F、G区隔离了起来，，因为里面存放了一些重要文件，它们与测试无关。。。


这里我只贴一张图，
（前面都是一路放行，那些图贴上来也没多大意义）




其实看这张也没多大意义，，
但是就在弹出这个图之后，
就再也无法截图了，鼠标点哪里，哪里死，
（因为此时无法进行截图操作，后来的情况只能文字表述一下）
此时只有comodo的弹窗可以自由操作，，
接下来的一系列弹窗还是一路放行它，，
中途偶尔可以操作一下photoshop，但photoshop时不时的假死，保存时提示磁盘已满，，
桌面可以刷新，但提示无法找到桌面路径，
刷新后，桌面上原本放有很多文件，此时只显示“我的电脑”、IE、回收站，这3个，，
打不开“我的电脑”，提示路径错误，
仍然继续一路放行下去，，
最后所有打开着的程序一个一个地被结束，小红伞是第4个被结束的，，
接着，资源管理器被结束，
最后一直停留在“正在保存设置....”的欲关机状态下，，

，，，，
由于一直停留欲关机状态下，
所以此时我就重启动了机器，
然后，神奇的事情出现了--------
启动后，顺利进入桌面，，原来桌面上所有的文件又都出现了，，
再查看一下其它地方，没发现被更改的痕迹
一切运行正常，，仿佛什么都没有发生过一样。。。

（这个病毒在运行完之后会自动消失）
----------------------------------------------------

有兴趣的可以试一下这个病毒，，不过你得首先对你的规则有点信心哈。。。
否则就在虚拟机下玩吧。。。

[ 本帖最后由 抓抓 于 2009-2-2 03:26 编辑 ]

sz5afc

楼主很大胆啊，实机也一路放行

V!RTUAL

实机运行，一路放行，不停的提示C:\WINDOWS\system32\drivers创建文件，所有盘符无法打开，连左下角的开始也没有了，重起后毛豆隔离组失效，除此一切恢复，各盘符可以打开，没时间测试，我直接恢复系统了！豆油试一下自己的规则！

[ 本帖最后由 V!RTUAL 于 2009-1-25 04:13 编辑 ]

dacaobao

用MD，规则是阻止了所有可执行文件的写和命名管道的读写，注册表规则是EQ大将军安静规则的移植版。

只看到两个阻止的日志：
一个是关于病毒的，写注册表，重启后日志找不到了；
一个是EXPLORER.EXE写注册表被阻止：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids\exefile

运行病毒后，输入法调不出来了，在MD的日志里复制目标（被阻止写的注册表内容）时复制出来是空的，然后根据日志创建阻止规则后，再在规则上再复制，突然自动重启了

重启后，输入法恢复正常，但日志里仍然有EXPLORER.EXE写注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids\exefile的日志

关EXPLORER.EXE什么事？EXPLORER.EXE被控制了？

[ 本帖最后由 dacaobao 于 2009-1-25 13:36 编辑 ]

Mr.Z

我想看日誌

Atlantis祭司

我没有虚拟机，也是实机测试的。

1e3e

机器配置高才能用虚拟机呀

cgzn

好办法，测试病毒的时候把其他盘隔离，好办法！

tingyue-wu

eq的测一下

tawny2008

原帖由 tingyue-wu 于 2009-1-25 16:09 发表
eq的测一下

和这个样本差不多http://bbs.kafan.cn/thread-411249-1-1.html