查看: 7311|回复: 31
收起左侧

[讨论] 改变时间病毒,咖啡竟然没有完全阻挡

[复制链接]
wweir
发表于 2007-1-30 17:46:22 | 显示全部楼层 |阅读模式
在其它论坛下了个改变时间病毒,用咖啡较严厉规则去“探雷”!压缩包内文件被有效清除且阻挡,根本无法运行!原以为没事,可今天重新开机时间竟然还是被修改为1980年,甚感莫名!查毒没有!重新改回时间,重启正常!咖啡较严规则竟然无法完全阻挡(病毒看来并未深入),还请小邪邪及论坛高手来看看,该如何设防!(注:规则不严者不要轻易试验!)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +3 收起 理由
小邪邪 + 3 感谢提供分享

查看全部评分

wweir
 楼主| 发表于 2007-1-30 17:47:38 | 显示全部楼层
注意:wzksp.exe为隐藏文件
peterbetter
发表于 2007-1-30 17:50:38 | 显示全部楼层
我的卡巴还没下来就干掉了! 谢谢提供,可以发到样本品
iszeds
发表于 2007-1-30 18:59:05 | 显示全部楼层
咖啡又不是神,啥都帮你挡了
wweir
 楼主| 发表于 2007-1-30 19:20:43 | 显示全部楼层
原帖由 peterbetter 于 2007-1-30 17:50 发表
我的卡巴还没下来就干掉了! 谢谢提供,可以发到样本品



查杀此病毒-咖啡也可以,要的是直接运行!目的只是探讨咖啡规则下的不足,和病毒感染方式的变化及咖啡规则防范的增强!病毒区的威金,熊猫等病毒已下载直接运行N变种了,都是咖啡规则阻挡,已没有测试必要了!这个病毒的运行方式有点特别,所以拿来探讨!
小邪邪
发表于 2007-1-30 20:38:45 | 显示全部楼层
修改时间为1980年的病毒 by mopery (zz)

http://hi.baidu.com/mopery/blog/ ... 349801203f2e3a.html

又是个U盘病毒..文件名随机..

具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf

X=C D E F H .... *=大小写字母随机命名

修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm

Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步..
内容一样..

系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..

连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt

处理方法:(安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf

修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe,

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

over...


由此可见:从文件到注册表再到端口,其实mcafee的强规则已经阻挡掉了它的绝大部分行为
但是时间部分不属于硬盘文件保护范围,这已经超出了mcafee的保护范畴
小邪邪
发表于 2007-1-30 20:38:59 | 显示全部楼层
这招也够毒的,可以使一些程序出错,比如已知卡巴和诺顿就可以通过修改日期时间的方法令它们当场“挂掉”,对其它的杀软是否有效目前还不清楚,但这招对mcafee应该是无效的,防御它最好的办法就是自己不要主动去运行它(通过EXPLORE.EXE调用),呵呵,如果不是自己要去运行的话,其它的程序要调用的话是会被阻止的
441360701
发表于 2007-1-30 20:51:02 | 显示全部楼层
小邪邪,麻烦你一下我今天刚刚安装的8.5,因为对MACFEE不熟悉,所以想请教你我应该怎样设置,或者通过怎样的简便方式可以抵挡类似于熊猫、危金之类的病毒那?

我以前安装的 KAV6.0每天更新病毒库,同时开启监控,但不久前还是被病毒更改了系统时间,导致KAV6被关闭,事后虽然可以查出来但是无法隔离和清除。 今天刚刚安装的系统和8.5,所以向你请教
小邪邪
发表于 2007-1-30 20:58:53 | 显示全部楼层
建议先熟悉了使用方法再说吧,等熟悉了以后可以考虑使用精简版规则,已经很强了
可以达到直接执行熊猫、威金的新变种而安然无事的地步
这是已经试过的(防火就好,最好不要玩火)
441360701
发表于 2007-1-30 21:16:03 | 显示全部楼层
我刚刚安装了精简版的规则目前还需要进行甚么设置吗 ?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-27 12:10 , Processed in 0.147388 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表