[原创]针对小红伞做了个小东东

显示全部楼层 · 发表于 2007-2-13 22:14:46

说明：

在样本区看到有人说nsis压缩格式的文件红伞无视，所以我上上网，查查资料，用nsis压缩软件做了个exe文件玩了一小把。

含有evid一个（就是德国佬做的能够更改tcpip.sys里面的连接数，突破windows xp sp2连接数限制的小程序，被很多杀软能查出来，小红伞也不例外，但是本身无毒），我用来做样本。
内含有bat文件一个，自动杀小红伞进程avguard.exe，解压缩evid。

在我自己机器上试验有效，我用W版不开进程保护，C版 P版的监控是不是也叫avguard？不是的话我这个包就没用了。

所有文件都会生成在桌面上，而且有2文件夹。

exe文件都能用7-zip打开（什么？7-zip是啥？太落伍了吧，这都不知道）

有ssm或者hips的就不用实验了，不是windows administrator权限的也不用试了。

附上各个杀毒软件对此包（无密码）的测试，evid就是那个tcpip破解补丁。

AntiVir	7.3.1.37	02.13.2007 [td]no virus found
Authentium	4.93.8	02.12.2007 [td]no virus found
Avast	4.7.936.0	02.12.2007 [td]no virus found
AVG	386	02.12.2007 [td]no virus found
BitDefender	7.2	02.13.2007	Application.Evid.M
CAT-QuickHeal	9.00	02.13.2007 [td]no virus found
ClamAV	devel-20060426	02.12.2007 [td]no virus found
DrWeb	4.33	02.13.2007 [td]no virus found
eSafe	7.0.14.0	02.12.2007 [td]no virus found
eTrust-Vet	30.4.3394	02.13.2007 [td]no virus found
Ewido	4.0	02.13.2007 [td]no virus found
Fortinet	2.85.0.0	02.13.2007 [td]no virus found
F-Prot	4.2.1.29	02.12.2007 [td]no virus found
F-Secure	6.70.13030.0	02.13.2007 [td]no virus found
Ikarus	T3.1.0.31	02.13.2007 [td]no virus found
Kaspersky	4.0.2.24	02.13.2007 [td]no virus found
McAfee	4961	02.12.2007 [td]no virus found
Microsoft	1.2204	02.13.2007 [td]no virus found
NOD32v2	2057	02.13.2007	Win32/Tool.EvID4226
Norman	5.80.02	02.13.2007 [td]no virus found
Panda	9.0.0.4	02.13.2007 [td]no virus found
Prevx1	V2	02.13.2007 [td]no virus found
Sophos	4.13.0	02.12.2007	EvID4226
Sunbelt	2.2.907.0	02.09.2007 [td]no virus found
Symantec	10	02.13.2007 [td]no virus found
TheHacker	6.1.6.056	02.11.2007 [td]no virus found
UNA	1.83	02.09.2007 [td]no virus found
VBA32	3.11.2	02.12.2007 [td]no virus found

实在怕有毒的就用7-zip解压缩看吧！

不用加壳啊那么复杂，标准的压缩协议红伞就认不出来了。

做这个东西的意义是：
1，红伞进程比较容易杀掉（就算是管理员权限，好，但是非正常结束总要提醒我一下吧）
2，貌似对nsis压缩格式免疫啊。

建议：还是加个hips保险

红伞加油啊！

解压缩密码是kpfans

不知道发这种东东在这里合不合规矩...要不是不行就删了吧。
用的办法比较简单粗糙，大家见笑了。

[ 本帖最后由 allenhippo 于 2007-2-13 23:22 编辑 ]

显示全部楼层 · 发表于 2007-2-13 22:20:59

可以KILL掉。。。。。。。。。。。。

@echo off
@taskkill /im avguard.exe /f
@evid.exe

C版没有自我保护这点有点郁闷哦。

[ 本帖最后由 evilcat 于 2007-2-13 22:23 编辑 ]

显示全部楼层 · 发表于 2007-2-13 22:29:40

不是恶意软件。。。。。。那个是线程修改补丁。。。。上面明明都写了。。。。

显示全部楼层 · 发表于 2007-2-13 22:33:29

线程连接数修改补丁很多杀软也要报啊

好像红伞也要报的

确实是被免杀了

不过谁上报下升个级就OK了

显示全部楼层 · 发表于 2007-2-13 22:34:48

小红伞以前报的。。。。现在就不知道了。。。因为偶把他加入到信任区域了。。。。

显示全部楼层 · 发表于 2007-2-13 22:39:51

不是报的对象

关键是红伞对这种免杀的处理机制，换个病毒用这种方式处理红伞应该也不报

处理上报可是红伞的强项

伞友们上报吧

应该明天就可以搞定了

显示全部楼层 · 发表于 2007-2-13 22:41:08

偶都和卡巴说过免杀的事情了。。。。被WS了。。。。。

显示全部楼层 · 发表于 2007-2-13 22:44:14

。。。

到现在也没改进？

显示全部楼层 · 发表于 2007-2-13 22:44:26

厉害啊

显示全部楼层 · 发表于 2007-2-13 22:45:48

如果改进的话就不会有这么多针对Kaspersky做的免杀呢。。。。这个不是我们能办的事情。。。只能顺天由命。。。。

[讨论] [原创]针对小红伞做了个小东东

本帖子中包含更多资源

回复 #3 EQ2 的帖子

回复 #4 ly250094040 的帖子

回复 #7 EQ2 的帖子