一个 Bad-Joke ，看看ＨＩＰＳ有几个报的

显示全部楼层 · 发表于 2007-4-5 20:20:53

这个东西应该属于恶意软件，杀软几乎都报

不过，到是ＨＩＰＳ没几个报的，即使是犀牛（自定义规则）报的也很少

ＰＳ：小菜首次发贴，来个样本做献礼，呵呵（不知道有人发个没……）

显示全部楼层 · 发表于 2007-4-5 20:38:26

就是那个隐藏进程点哪“关”哪的吧

显示全部楼层 · 发表于 2007-4-5 21:07:29

这个就是"点那关那"的玩笑程序...其中还调用了几个系统程序..图没抓上来..只抓了前面2张

[ 本帖最后由 xpn282 于 2007-4-5 21:08 编辑 ]

显示全部楼层 · 发表于 2007-4-5 21:10:52

[0] Archive type: RAR
  --> ks.exe
   [DETECTION] Contains signature of the joke program JOKE/CloseWindow.B
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-4-5 21:22:24

PCC掃無病毒

显示全部楼层 · 发表于 2007-4-5 22:07:45

Scan performed at: 2007-4-5 22:07:41
Scanning Log
NOD32 version 2169 (20070405) NT
Command line: C:\Documents and Settings\EQ2\桌面\a.rar
Operating memory - is OK

Date: 5.4.2007 Time: 22:07:45
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\Documents and Settings\EQ2\桌面\a.rar
C:\Documents and Settings\EQ2\桌面\a.rar ?RAR ?ks.exe - Win32/BadJoke.Agent.N application - was a part of the deleted object
Number of scanned files: 2
Number of threats found: 1
Number of files cleaned: 1
Time of completion: 22:07:45 Total scanning time: 0 sec (00:00:00)

显示全部楼层 · 发表于 2007-4-6 01:27:01

小犀牛来啦

显示全部楼层 · 发表于 2007-4-6 01:30:40

呵呵 ---卡8和NOD32都报了

显示全部楼层 · 发表于 2007-4-6 07:26:16

呵呵，jlennon 的 SNS 报了……

说说你的 Rule 8 怎么定的，大家一起研究一下

显示全部楼层 · 发表于 2007-4-6 08:05:00

原帖由 kfcnknight 于 2007-4-6 07:26 发表
呵呵，jlennon 的 SNS 报了……

说说你的 Rule 8 怎么定的，大家一起研究一下

单写#system32##**#.exe或和写成#system32##**#.#modext#,action是opening a file or folder.

最好再写两个防止注入和删除的全局规则#**#.#modext#,一个是建立，一个是删除。

IE最好加个局部规则，禁止注入#**#.#modext#.

其余的自己补充吧，每个人的要求不一样...............

[病毒样本] 一个 Bad-Joke ，看看ＨＩＰＳ有几个报的

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源