myprokillertmp.sys关闭所有杀软监控

Lazey

微点不拦截加驱 这点要改进、、

virusman

一个病毒发现一个监控程序在工作，杀掉监控程序后，仍能执行自己原有的功能，称为“过”
另一个病毒发现监控程序在工作，自己不工作直接退出，虽然监控程序没有报，但不能称为“过”。
所以，“有没有报警”不能作为“过”的唯一依据。

[ 本帖最后由 virusman 于 2009-6-28 17:11 编辑 ]

野马

有没有人解析一下最后一个样本

softkiller

发给官方了 等待微点更新吧

大汉天子1

原帖由 SONGLEI 于 2009-6-28 16:35 发表
当微点比不过卡巴、NIS等杀软套装，微点就不是杀软，不能和杀软比
当微点比不过TF或MATUTU等相似的行为判断式杀软或不相上下，微点就不是HIPS，不能和智能HIPS比

结果微点是主动防御，悬在空中的未知技术的主动防 ...

呵呵，说得妙

[ 本帖最后由 大汉天子1 于 2009-6-28 17:55 编辑 ]

xyao

原帖由 野马 于 2009-6-28 17:24 发表
有没有人解析一下最后一个样本

XHMAIN.EXE?动作挺简单的，先是关闭任务管理器，然后修改时间到2000-01-08，最后shutdown关机

langhuan1

错了,恩,对了一点,原本是这样的,因今天我看到楼主的附件,样本包,一时手痒下载了,但是后来发觉没有那么简单,他首先关了微点,关了任务管理器,但是我那里没有修改系统的时间,蓝屏了一次,第二次继续,没有蓝屏,但是运行XHKILLR.EXE就有问题了,出现了关网,关微点,关DW,汗,结果没有去里它,关机出去玩了,到今晚上回来开机感觉慢慢的,就重启了一下,汗,出现一个什么,sotk错误,要手动复制过去,然后我开了PE复制过去了,都没有效果,搞到我又重装系统,哦,可怜的我啊

virusman

这个“病毒”将C:\WINDOWS\system32\drivers\etc\hosts文件更名为hosts.o1d，并重建C:\WINDOWS\system32\drivers\etc\hosts，在这个文件中屏蔽网络，只要把hosts.o1d重新更名为hosts就可以了。