送给喜欢手动杀毒爱好者的小礼物..

lifetouch

亮点是xuetr被废了..0.27....0.28+坛友发的0.29版本都失效!!  打不开..或打开程序失去所有功能..XPSP2系统版本.





由于XUETR程序的防护比较强..不能轻易结束进程..所以会导致有两个进程的存在.当两个进程同时存在的时候有一个能被任务管理器结束.


上图中蓝色高亮是我改名后的0.29版本的XT.


icesword只是打开来看了看..并不会导致程序异常.
用wsyscheck打开后..能看到两个隐藏进程.一个help.exe 一个iexplore.exe  .经查看.并没有线程注入.(也许是隐藏得更深,但看不到.)





恢复SSDT是没用的..看起来像没有钩子.
ARK软件只有XUETR用不了..似乎有针对性.或所用的技术有冲突.


病毒有一个隐藏自身技术比较强大..或许是我孤陋寡闻. 运行程序后会在C:\Program Files\Internet Explorer下生成help.exe  help.dll两个文件.用windows自身的显示文件功能.是没法看见的.用软件能看见.  复制到任意文件夹下面刷新一次,就消失了.右键看属性是为空的..但用软件能看见它们的存在.隐藏性比较深.


在技术上.病毒有点革新.也许是新型病毒的前奏.在查杀上难度并不大.
曾经我和朋友说过.如果病毒也做成拦截所有驱动的形式.那么所有ART工具和杀毒软件都将作废,他笑着说应该不会的.另一个朋友说.病毒是为了赚钱.不会搞这些的..     我一直都认为拦截所有驱动是很好的防护方法.就像HIPS一样.目前江民最新版的进程很难杀..   ....

我的机器一直裸奔.没有杀毒软件测试..有兴趣者请关掉所有防护软件测试玩玩.
重申..病毒并不难查杀.是送给手动杀毒爱好者的小程序.  玩玩而已,不用较真!!!    :)   :)  :)



由于机器中毒.没能及时上传附件,抱歉.稍后上传....

[ 本帖最后由 lifetouch 于 2009-9-13 00:57 编辑 ]

SONGLEI

竟然可以沙发支持,待会下载来瞧瞧

SONGLEI

在DW非信任运行

SONGLEI

但没出现隐藏进程, XUETR也可以正常打开，进程列表一致。无隐藏进程出现。


不能看到楼主说的2个文件，只看到生成了HELP.COM文件。


[ 本帖最后由 SONGLEI 于 2009-9-13 08:31 编辑 ]

SONGLEI

但出现一个诡异的看不见的非信任进程，和WSYSCHECK对比信任区的进程数其实也没有少


回滚列表也没有那个help.dll文件。


[ 本帖最后由 SONGLEI 于 2009-9-13 08:31 编辑 ]

小晴天

楼主直接改掉了xT的。。。没意义

关9军

这是个啥玩意？

fisun

这个小工具可以试试看

lifetouch

原帖由 SONGLEI 于 2009-9-13 07:33 发表
竟然可以沙发支持,待会下载来瞧瞧

你下载我附件解压后有没有看见help.exe和help.dll (需要显示所有文件才能看见)!运行之后刷新就不见了这两个文件!

你的或许是被杀毒软件或其它辅助软件拦截了没法加载或不能正常的运行.

help.exe会删除自身.在C盘iexplore文件夹里再生成help.exe和help.dll
explorer和winrar是无法对这两个文件做任何操作.在病毒运行的情况下.这两个文件在windows下面是空的.只能用软件来查看.


可以试着关掉所有的防护软件再运行试试.我是在断网的情况下运行的.重ghost 了N次系统.我自己是用windows纯净版.在VM里用深度的系统也试过.还是出现我所说的情况!

dl123100

目前反馈的能让XueTr可能无法工作的病毒就只有鸽子、马吉斯、Rustock和TDSS系列
虽然我这基本没法重现