···一个“比较厉害的病毒”，实机测试

tawny2008

连生成的驱动都一样，应该是同个病毒的变种

这是那个病毒的测试情况

lovinglay

学习···

223311

厉害，还是不测试好了。

sean66wang

下载不了，不知道被什么给搞掉了

周勃

这个病毒，会改变磁盘驱动器的指向，HIPS对这个行为没有监察得到，也没能够挡住，从另一个层面来讲，足以说明，现有的HIPS其实是漏洞百出的。
杀软的效果此时就体现出来了。

[ 本帖最后由 周勃 于 2009-2-1 23:14 编辑 ]

抓抓

用更新过的规则，今天又试了一次，

结果很令人满意：


老规矩，一路放行：



这次似乎没有那么多弹窗（可能前次更新规则时做了少许宽松），直接联网：





这个有点意思了：




继续：




继续给它最大的运行自由：






到底什么意思？难道这就是传说中的“钓鱼”？？：
现在一路放行到这里，没发现什么异常，，系统、程序都正常运行，，网络也正常。。


然后就停在这个地方，再也没有动静了。。

由于一直没动静，所以我就结束了它的进程，，

但是有一点奇怪的是，尽管结束了它的进程，，
但偶尔还会有windows Operating system的联网弹窗，，
冰刃里也没看到其它进程。。。


最后看一下日志：



日志里根本就没有这个程序名的一切记录。。。全是svchost.exe..


再来看看我的svchost.exe的规则：



可以看到，我给了svchost.exe最大的权限。。。


结论：一路放行运行这个病毒后，，似乎没有什么影响，，，系统、程序都正常运行，网络也正常，，
重启后依然一切正常。。。

当然也没发现有写入什么文件，，
而且在后来的规则更新中加入了防止程序之间的互相感染，可能也起到了一些作用。。。

-----------------------------
BTW，，测试前重新恢复的系统，导入更新后的规则，，

与上次的结果截然不同。。。

[ 本帖最后由 抓抓 于 2009-2-2 01:06 编辑 ]

周勃

不是说与这个病毒效果一样吗？
抓抓测测这个：

tawny2008

原帖由 周勃 于 2009-2-1 23:12 发表
这个病毒，会改变磁盘驱动器的指向，HIPS对这个行为没有监察得到，也没能够挡住，从另一个层面来讲，足以说明，现有的HIPS其实是漏洞百出的。
杀软的效果此时就体现出来了。

为什么这么说呢？EQ测试完全可以拦住，你说的改变磁盘路径指向问题，EQ可以拦截，也可以检查得到

抓抓

原帖由 周勃 于 2009-2-2 01:02 发表
不是说与这个病毒效果一样吗？
抓抓测测这个：

455099

.



结果是基本相同，，没什么影响：

周勃

不会吧？那帖子，据说是EQ没有允许其充分运行才挡住的。
有提示没有？挡的是哪一步？发给我看看，我好设置。