过NOD32，大蜘蛛，卡巴高启发，过瑞星表面的样本一个。

显示全部楼层 · 发表于 2009-4-6 14:24:02

原帖由 saga3721 于 2009-4-6 13:45 发表
也许是延时出站，重启之后出站
利用IEXPLORE.EXE启动自身还不联网？

没有联网出入动作
而且是它启动IE(无窗口的），不是IE启动它自身

显示全部楼层 · 发表于 2009-4-6 15:14:07

注入IE了吧
试了一下，果真是注入IE了，这还能不联网啊？防火墙都得放行因为IE是大都防火墙都默认允许的联网程序，这还不杀就完了

[ 本帖最后由 saga3721 于 2009-4-6 15:26 编辑 ]

显示全部楼层 · 发表于 2009-4-6 15:55:39

为什么nod32检测不出来？

显示全部楼层 · 发表于 2009-4-6 19:34:55

原帖由 saga3721 于 2009-4-6 15:14 发表
注入IE了吧
试了一下，果真是注入IE了，这还能不联网啊？防火墙都得放行因为IE是大都防火墙都默认允许的联网程序，这还不杀就完了

我的防火墙设置的是IE进出站提示的
虽然它后台打开IE进程（只有进程没有窗口，因为我本没打开IE）
可是我的FW没有提示进出站，查看网路也没流量发生
您说它联网了吗？

显示全部楼层 · 发表于 2009-4-6 20:37:58

McAfee miss

显示全部楼层 · 发表于 2009-4-6 21:04:40

那就麻烦打开IE然后看看有没有不同寻常的连接，如果监视一定时间之后确认没有与以前不同的端口和目标地址的出站，还是一切如常那么可以认为它是被所由报它木马的杀软冤枉的。

显示全部楼层 · 发表于 2009-4-6 21:27:44

过诺顿，但是处理很及时，二十几分钟就开始报毒了

显示全部楼层 · 发表于 2009-4-6 23:18:40

真的想不到啊,我就免杀这几款杀软,竟然也过了那么多的杀软,难道杀软的特征库是共用的????

显示全部楼层 · 发表于 2009-4-6 23:30:33

我要晕了,上面的各位别争论了,郁闷死,这个木马是我设置的好不好,你们认为一个木马会生成一个5201314.exe的文件吗?联网的问题我都设置成连接127.0.0.1了,当然不会联网了啊,这是我的马儿,当然不能让它访问我的IP吧.....

显示全部楼层 · 发表于 2009-4-6 23:36:07

Avira Kill
BDS/Hupigon.Gen

[病毒样本] 过NOD32，大蜘蛛，卡巴高启发，过瑞星表面的样本一个。