续集“鬼影”是新毒吗？三个月前的360已经查得出了。<<<<<祥细测试

yjwfdc

昨天发了一贴
  [资讯]“鬼影”是新毒吗？三个月前的360已经查得出了。   ...234
很多人怀疑,今天来个祥细的测试,材料尽量全部给出,如果还有怀疑的,可以自己试.

材料
1.虚拟机
2.病毒(在测试时,会测试一下是不是鬼影)下载地址http://bbs.kafan.cn/thread-663430-1-1.html
3.mbr修复工具.
4.360安全卫士.(虚拟机以前安装的，很久没有更新)
5.eq
6.鬼影专杀，下载地址http://bbs.kafan.cn/thread-432671-1-1.html(用于测试是不是鬼影)

过程。

1。首先关闭网络




2。运行eq，作为监控。



3。运行360安全卫士5.1.1，看看更新提示。提示有99天没有更新毒库和主程序了。(提示是这样提，不知道如何才可以知道准确的更新日期，知道的朋友请告知)



4。运行mbr修复工具，看看mbr的情况。



5。运行鬼影专杀，看看现在有没有中毒。查了5000多文件，没有发现，停止查杀。关闭



6。运行病毒，360出来警报，选阻止并且删除文件，



病毒被删除了，成功防御。



7。重新解压病毒，




再次运行，360出来警报，选继续运行，




eq出来询问，




全部选允许，





电脑很卡，系统应该中毒了。




8。再运行mbr修复工具，看看mbr的情况。没事，等一会，再看，还是没事。把360关闭，以免阻止病毒的发挥，




再过几分钟，mbr被修改了

。





9。运行鬼影专杀，看看现在有没有中毒。




查了8000多文件没有发现，停止查杀，eq发现专杀写硬盘，



发现鬼影了。






10.再看看mbr，已经被金山修复了。



测试到此结束，
从测试看来，99天没有更新的360 5.1.1可以查出鬼影，甚至让病毒运行也不一定可以改mbr。



不好意思，测试是有问题，但不是我故意的，我已经在原贴说过

1.<<<<< 3。运行360安全卫士5.1.1，看看更新提示。提示有99天没有更新毒库和主程序了。(提示是这样提，不知道如何才可以知道准确的更新日期，知道的朋友请告知)>>>>>>>>

现在知道了libspyerp.dat的更新日期才是准确的更新日期，介面上的更新日期是不对的。可以确认我所用的360木马库是2010年3月17日的（如

图）


2.我从来不主动更新360，但为什么360更新了呢？可以看出，360会自动更新木马库，并且在5.1.1的介面上看不出来。

虽然这个测试是有问题，但也说明了一些问题。说明了什么问题自己理解。

yjwfdc

eq的日志

2010-03-25 17:14:57    运行应用程序      操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
触发规则:高优先规则->999_黑名单x->*\?.exe


2010-03-25 17:15:00    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->888_全局询问x->*.sys


2010-03-25 17:15:01    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->888_全局询问x->*.sys


2010-03-25 17:15:07    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem0.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:08    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem1.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:08    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem2.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:09    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem3.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:10    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem4.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:11    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem5.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:12    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem6.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:13    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem7.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:14    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\LastGood\INF\oem7.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:15    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\LastGood\INF\oem7.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:16    修改文件      操作:允许
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TimeStamp
触发规则:所有程序规则->120_系统驱动_x->C:\WINDOWS\system32\*


2010-03-25 17:15:16    修改文件      操作:允许
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TimeStamp
触发规则:所有程序规则->120_系统驱动_x->C:\WINDOWS\system32\*


2010-03-25 17:15:18    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem7.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:15:20    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET7.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:21    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET7.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:22    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET7.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:23    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET7.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:42    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:43    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET7.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:15:44    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:16:00    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:[Key]
触发规则:应用程序规则->030_信任x->%SystemRoot%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*


2010-03-25 17:16:01    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:应用程序规则->060系统程序x->%SystemRoot%\system32\services.exe->%SystemRoot%\System32\Drivers\*.sys


2010-03-25 17:16:15    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\Program files\MSDN\atixi.sys
触发规则:所有程序规则->888_全局询问x->*.sys


2010-03-25 17:16:17    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\Program files\MSDN\atixi.sys
触发规则:所有程序规则->888_全局询问x->*.sys


2010-03-25 17:17:23    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem0.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:19:33    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem1.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:05    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem2.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:06    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem3.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:06    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem4.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:07    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem5.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:08    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem6.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:08    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem7.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:09    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem8.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:10    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\LastGood\INF\oem8.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:11    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\LastGood\INF\oem8.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:16    修改文件      操作:允许
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TimeStamp
触发规则:所有程序规则->120_系统驱动_x->C:\WINDOWS\system32\*


2010-03-25 17:20:16    修改文件      操作:允许
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\TimeStamp
触发规则:所有程序规则->120_系统驱动_x->C:\WINDOWS\system32\*


2010-03-25 17:20:18    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\INF\oem8.inf
触发规则:所有程序规则->060_inf文件夹_x->%SystemRoot%\*inf\*.inf


2010-03-25 17:20:21    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SETA.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:22    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SETA.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:22    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SETA.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:23    修改文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SETA.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:24    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixi.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:25    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SETA.tmp
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:26    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixi.sys
触发规则:所有程序规则->120_系统驱动_x->%SystemRoot%\system32\drivers\*


2010-03-25 17:20:32    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixi
注册表名称:[Key]
触发规则:应用程序规则->030_信任x->%SystemRoot%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*


2010-03-25 17:20:33    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixi.sys
触发规则:应用程序规则->060系统程序x->%SystemRoot%\system32\services.exe->%SystemRoot%\System32\Drivers\*.sys


2010-03-25 17:20:34    删除注册表      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixi
注册表名称:[Key]
触发规则:所有程序规则->080_服务_x->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*


2010-03-25 17:20:34    删除注册表      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\鬼影病毒\1.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:[Key]
触发规则:所有程序规则->080_服务_x->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*


2010-03-25 17:23:44    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:应用程序规则->080_联网x->*.exe->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet

Settings\Connections


2010-03-25 17:25:31    读取文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
文件路径:C:\WINDOWS\system32\msvidctl.dll
触发规则:高优先规则->000优先阻止的dllx->%SystemRoot%\system32\msvidctl.dll


2010-03-25 17:25:31    读取文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
文件路径:C:\WINDOWS\system32\msvidctl.dll
触发规则:高优先规则->000优先阻止的dllx->%SystemRoot%\system32\msvidctl.dll


2010-03-25 17:30:15    读取文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
文件路径:C:\WINDOWS\system32\msvidctl.dll
触发规则:高优先规则->000优先阻止的dllx->%SystemRoot%\system32\msvidctl.dll


2010-03-25 17:30:15    读取文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
文件路径:C:\WINDOWS\system32\msvidctl.dll
触发规则:高优先规则->000优先阻止的dllx->%SystemRoot%\system32\msvidctl.dll


2010-03-25 17:31:26    底层写磁盘操作      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\金山鬼影专杀\guiyingfix.exe
操作磁盘:\Device\Harddisk0\DR0
触发规则:应用程序规则->220_全部x->*

a_skywalker

支持LZ的测试！

chabosh

这个所谓的鬼影太一般了  一个FDISK/MBR 命令解决

ybzx211

好奇怪...鬼影专杀界面上怎么显示发现病毒数为0，但是提示却说发现鬼影？

lintianyuan

360确实还可以
只不过树大招风。以后就会越来越艰难
金山本来以为他是踏踏实实很低调搞技术
但是这表现实在让我不敢恭维
KV2011内测估计过几个月就能开始吧，从来都是最快的
（...瑞星也很快，但搞不到内测资格）
等待KV2011中

whoamisd

结果还是挺震撼的

testhawk

金山现在变的很爱招摇了

鬼影不是第一个动作是操作系统内核么～eq没拦到？

yjwfdc

鬼影不是第一个动作是操作系统内核么～eq没拦到？
单身熟男 发表于 2010-3-25 19:28

我用的eq4。0b2没有拦到，只有中毒后，重启系统，再运行一次病毒才会拦到。