查看: 3535|回复: 11
收起左侧

[讨论] [原创]针对小红伞做了个小东东

[复制链接]
allenhippo
发表于 2007-2-13 22:14:46 | 显示全部楼层 |阅读模式
说明:

在样本区看到有人说nsis压缩格式的文件红伞无视,所以我上上网,查查资料,用nsis压缩软件做了个exe文件玩了一小把。

含有evid一个(就是德国佬做的能够更改tcpip.sys里面的连接数,突破windows xp sp2连接数限制的小程序,被很多杀软能查出来,小红伞也不例外,但是本身无毒),我用来做样本。
内含有bat文件一个,自动杀小红伞进程avguard.exe,解压缩evid。

在我自己机器上试验有效,我用W版不开进程保护,C版 P版的监控是不是也叫avguard?不是的话我这个包就没用了。

所有文件都会生成在桌面上,而且有2文件夹。

exe文件都能用7-zip打开(什么?7-zip是啥?太落伍了吧,这都不知道)

有ssm或者hips的就不用实验了,不是windows administrator权限的也不用试了。


附上各个杀毒软件对此包(无密码)的测试,evid就是那个tcpip破解补丁。
AntiVir7.3.1.3702.13.2007 [td]no virus found
Authentium4.93.802.12.2007 [td]no virus found
Avast4.7.936.002.12.2007 [td]no virus found
AVG38602.12.2007 [td]no virus found
BitDefender7.202.13.2007Application.Evid.M
CAT-QuickHeal9.0002.13.2007 [td]no virus found
ClamAVdevel-2006042602.12.2007 [td]no virus found
DrWeb4.3302.13.2007 [td]no virus found
eSafe7.0.14.002.12.2007 [td]no virus found
eTrust-Vet30.4.339402.13.2007 [td]no virus found
Ewido4.002.13.2007 [td]no virus found
Fortinet2.85.0.002.13.2007 [td]no virus found
F-Prot4.2.1.2902.12.2007 [td]no virus found
F-Secure6.70.13030.002.13.2007 [td]no virus found
IkarusT3.1.0.3102.13.2007 [td]no virus found
Kaspersky4.0.2.2402.13.2007 [td]no virus found
McAfee496102.12.2007 [td]no virus found
Microsoft1.220402.13.2007 [td]no virus found
NOD32v2205702.13.2007Win32/Tool.EvID4226
Norman5.80.0202.13.2007 [td]no virus found
Panda9.0.0.402.13.2007 [td]no virus found
Prevx1V202.13.2007 [td]no virus found
Sophos4.13.002.12.2007EvID4226
Sunbelt2.2.907.002.09.2007 [td]no virus found
Symantec1002.13.2007 [td]no virus found
TheHacker6.1.6.05602.11.2007 [td]no virus found
UNA1.8302.09.2007 [td]no virus found
VBA323.11.202.12.2007 [td]no virus found
实在怕有毒的就用7-zip解压缩看吧!

不用加壳啊那么复杂,标准的压缩协议红伞就认不出来了。

做这个东西的意义是:
1,红伞进程比较容易杀掉(就算是管理员权限,好,但是非正常结束总要提醒我一下吧)
2,貌似对nsis压缩格式免疫啊。

建议:还是加个hips保险

红伞加油啊!

解压缩密码是kpfans


不知道发这种东东在这里合不合规矩...要不是不行就删了吧。
用的办法比较简单粗糙,大家见笑了。

[ 本帖最后由 allenhippo 于 2007-2-13 23:22 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
evilcat
发表于 2007-2-13 22:20:59 | 显示全部楼层
可以KILL掉。。。。。。。。。。。。

@echo off
@taskkill /im avguard.exe /f
@evid.exe

C版没有自我保护这点有点郁闷哦。

[ 本帖最后由 evilcat 于 2007-2-13 22:23 编辑 ]
The EQs
发表于 2007-2-13 22:29:40 | 显示全部楼层
不是恶意软件。。。。。。那个是线程修改补丁。。。。上面明明都写了。。。。
ly250094040
发表于 2007-2-13 22:33:29 | 显示全部楼层

回复 #3 EQ2 的帖子

线程连接数修改补丁很多杀软也要报啊

好像红伞也要报的

确实是被免杀了

不过谁上报下升个级就OK了
The EQs
发表于 2007-2-13 22:34:48 | 显示全部楼层

回复 #4 ly250094040 的帖子

小红伞以前报的。。。。现在就不知道了。。。因为偶把他加入到信任区域了。。。。
ly250094040
发表于 2007-2-13 22:39:51 | 显示全部楼层
不是报的对象

关键是红伞对这种免杀的处理机制,换个病毒用这种方式处理红伞应该也不报

处理上报可是红伞的强项

伞友们上报吧

应该明天就可以搞定了
The EQs
发表于 2007-2-13 22:41:08 | 显示全部楼层
偶都和卡巴说过免杀的事情了。。。。被WS了。。。。。
ly250094040
发表于 2007-2-13 22:44:14 | 显示全部楼层

回复 #7 EQ2 的帖子

。。。

到现在也没改进?
davywei
发表于 2007-2-13 22:44:26 | 显示全部楼层
厉害啊
The EQs
发表于 2007-2-13 22:45:48 | 显示全部楼层
如果改进的话就不会有这么多针对Kaspersky做的免杀呢。。。。这个不是我们能办的事情。。。只能顺天由命。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 01:42 , Processed in 0.133109 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表