改变时间病毒，咖啡竟然没有完全阻挡

显示全部楼层 · 发表于 2007-1-30 17:46:22

在其它论坛下了个改变时间病毒，用咖啡较严厉规则去“探雷”！压缩包内文件被有效清除且阻挡，根本无法运行！原以为没事，可今天重新开机时间竟然还是被修改为1980年，甚感莫名！查毒没有！重新改回时间，重启正常！咖啡较严规则竟然无法完全阻挡（病毒看来并未深入），还请小邪邪及论坛高手来看看，该如何设防！（注：规则不严者不要轻易试验！）

显示全部楼层 · 发表于 2007-1-30 17:47:38

注意：wzksp.exe为隐藏文件

显示全部楼层 · 发表于 2007-1-30 17:50:38

我的卡巴还没下来就干掉了!

谢谢提供,可以发到样本品

显示全部楼层 · 发表于 2007-1-30 18:59:05

咖啡又不是神,啥都帮你挡了

显示全部楼层 · 发表于 2007-1-30 19:20:43

原帖由 peterbetter 于 2007-1-30 17:50 发表
我的卡巴还没下来就干掉了! 谢谢提供,可以发到样本品

查杀此病毒－咖啡也可以，要的是直接运行！目的只是探讨咖啡规则下的不足，和病毒感染方式的变化及咖啡规则防范的增强！病毒区的威金，熊猫等病毒已下载直接运行N变种了，都是咖啡规则阻挡，已没有测试必要了！这个病毒的运行方式有点特别，所以拿来探讨！

显示全部楼层 · 发表于 2007-1-30 20:38:45

修改时间为1980年的病毒 by mopery (zz)

http://hi.baidu.com/mopery/blog/ ... 349801203f2e3a.html

又是个U盘病毒..文件名随机..

具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf

X=C D E F H .... *=大小写字母随机命名

修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm

Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

listsas.txt 与服务器上 http://www.sinavip.net/list.txt 同步..
内容一样..

系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..

连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt

处理方法:(安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf

修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe,

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

over...

由此可见：从文件到注册表再到端口，其实mcafee的强规则已经阻挡掉了它的绝大部分行为
但是时间部分不属于硬盘文件保护范围，这已经超出了mcafee的保护范畴

显示全部楼层 · 发表于 2007-1-30 20:38:59

这招也够毒的，可以使一些程序出错，比如已知卡巴和诺顿就可以通过修改日期时间的方法令它们当场“挂掉”，对其它的杀软是否有效目前还不清楚，但这招对mcafee应该是无效的，防御它最好的办法就是自己不要主动去运行它（通过EXPLORE.EXE调用），呵呵，如果不是自己要去运行的话，其它的程序要调用的话是会被阻止的

显示全部楼层 · 发表于 2007-1-30 20:51:02

小邪邪，麻烦你一下我今天刚刚安装的8.5，因为对MACFEE不熟悉，所以想请教你我应该怎样设置，或者通过怎样的简便方式可以抵挡类似于熊猫、危金之类的病毒那？

我以前安装的 KAV6.0每天更新病毒库，同时开启监控，但不久前还是被病毒更改了系统时间，导致KAV6被关闭，事后虽然可以查出来但是无法隔离和清除。

今天刚刚安装的系统和8.5，所以向你请教

显示全部楼层 · 发表于 2007-1-30 20:58:53

建议先熟悉了使用方法再说吧，等熟悉了以后可以考虑使用精简版规则，已经很强了
可以达到直接执行熊猫、威金的新变种而安然无事的地步
这是已经试过的（防火就好，最好不要玩火）

显示全部楼层 · 发表于 2007-1-30 21:16:03

我刚刚安装了精简版的规则目前还需要进行甚么设置吗？

[讨论] 改变时间病毒，咖啡竟然没有完全阻挡

本帖子中包含更多资源

评分