过主防，有兴趣的分析下（官方已答复，看37楼）

显示全部楼层 · 发表于 2009-12-30 12:08:15

回复 9# darnaydeng

需要重启计算机，该病毒第一次运行时，只将自身复制到system32目录中，并增加自启动项，然后删除自身程序，进程退出后什么也不干了，这时微点没有报警。重启计算机后，system32目录的备份程序开始工作，这时微点报毒。

显示全部楼层 · 发表于 2009-12-30 12:09:24

回复 4# virusman

你是在局域网环境中么？还是adsl?

显示全部楼层 · 发表于 2009-12-30 12:10:29

回复 12# wcj20236

局域网

显示全部楼层 · 发表于 2009-12-30 12:18:23

回复 10# darnaydeng

比如123.exe，不要是setup，说不定微点一看setup会默认放掉一些拦截项，等发现问题时候，却又来不及重新拦了

显示全部楼层 · 发表于 2009-12-30 12:19:24

回复 darnaydeng

需要重启计算机，该病毒第一次运行时，只将自身复制到system32目录中，并增加自 ...
virusman 发表于 2009-12-30 12:08

呵呵，我试下。。。

我运行后，没有重启，直接用小A杀掉了

显示全部楼层 · 发表于 2009-12-30 12:19:51

回复 darnaydeng

比如123.exe，不要是setup，说不定微点一看setup会默认放掉一些拦截项，等发现 ...
白羊座发表于 2009-12-30 12:18

好，试一下

显示全部楼层 · 发表于 2009-12-30 12:30:33

回复 15# darnaydeng

对于这个病毒，重启是关键步骤，如果没有重启，微点不会报，理由前面已经说了。

显示全部楼层 · 发表于 2009-12-30 12:36:04

回复 17# virusman

重启后微点没有动作

重启后的进程信息截图

显示全部楼层 · 发表于 2009-12-30 12:38:06

回复 14# 白羊座

修改为其它文件名，依然没有反应的
呵呵

显示全部楼层 · 发表于 2009-12-30 12:39:19

回复 19# darnaydeng

怪事，为啥有人能测，你却没反应呢，话说这几个动作单独看确实不能算威胁

[微点] 过主防，有兴趣的分析下（官方已答复，看37楼）