用SREng+XueTr捏死犇牛

evilrabbit

  穿透就穿透吧，反正很少有完全穿透，前几天的mm.exe吧，确实穿透了sd，但联网下载的文件重启后，只剩下不到3个，联网下载的那20多个文件重启后都没了。 而且那程序的自我保护烂的要死。

backway

在样本区看到mm.exe 有时间也试试
影子系统还没用过
以前在朋友介绍下用雨过天晴，一重启发现太慢，立马卸载了

smallyou93

原帖由 backway 于 2009-3-29 10:30 发表


很简单，我们通过锐捷拨号上网的呃，之前也有朋友看出来了。之前的清理， 包括截端口那图，我都没运行锐捷的。
我这个实验只是说明断网情况下的清理过程。其实第一个端口截图里可以看出远程ip的 那时我联网了[: ...

C:\windowsupdate.dll本身没有问题

如果病毒下载了这个dll对应的loader（加载者），然后在去loadC:\windowsupdate.dll这个dll的话。。。

你可以搜搜实习生那群，那群阳光有提到过的。

coolhui

很详细的教程，学习了~~

backway

嗯，联网了一小会儿，第一个端口图就是联网时的
毕竟是实机，不敢长时间联网。所以发现有可疑联网程序时就给断开了
谢谢提醒啊

smallyou93

原帖由 backway 于 2009-3-29 12:26 发表
嗯，联网了一小会儿，第一个端口图就是联网时的
毕竟是实机，不敢长时间联网。所以发现有可疑联网程序时就给断开了
谢谢提醒啊

SREng+Xuetr？

我会选择狙剑+Xuetr。。

smallyou93

狙剑日志比较齐全，看到的系统问题也相对比SREng比较多。。

backway

用sreng还是觉得条理很清晰。之前没做监控，完全不知道病毒的行为。
那个犇牛确实在一直更新，我运行的那个用多引擎扫描了：http://www.virscan.org/report/53 ... ac516ba1fbd285.html
过的还很多

backway

原帖由 smallyou93 于 2009-3-29 12:29 发表
狙剑日志比较齐全，看到的系统问题也相对比SREng比较多。。

我一般是先sren g，解决不了的话再找狙剑。。。还是不怎么喜欢狙剑界面。。。所以强烈建议linxer将xuetr也补充个日志扫描功能。。。

smallyou93

原帖由 backway 于 2009-3-29 12:31 发表
用sreng还是觉得条理很清晰。之前没做监控，完全不知道病毒的行为。
那个犇牛确实在一直更新，我运行的那个用多引擎扫描了：http://www.virscan.org/report/53be26536ea9fb4a6dac516ba1fbd285.html
过的还很多[:15 ...

下载你那个样本，（http://bbs.kafan.cn/attachment.php?aid=498113&k=3924ed835a818fe5e17fdcd1cb3fc7f2&t=1238301334）

比对了下

1. http://www.hoho-1.cn/down/gr.exe

复制代码

其MD5没有变