深度看见的日本的恶性新病毒... +某的测试结果

aoyang

日本的恶性新病毒... +某的测试结果今天早上又进行了一次测试 在完全影子下总共实验了3次

因为昨晚实在很无言 .... 那图是4月的 可能是去年的老病毒么... 那句日文的意思是 稍微等下 (luckystar的)发烧友小子

先说一下我这里已经发现的一些规律

1.病毒无差别感染 可以看图00.....

2.病毒不感染别的分区的文件

3.病毒改注册表只有RND/ SEED 这是正常的- - 虽然不知道是不是设了时间(最长开了5分钟左右)

3.病毒并非不感染中文目录的 该盘根目录下的一级子目录下的文件会被全部感染

但再下一级文件夹里面的内容却不会被感染 病毒会感染自身文件夹和上层的文件夹的第一层子目录

可以清楚的是 每个上层文件夹的二级子目录不会被感染

(看懂么- -  那就举下例子

假设病毒在下面这地址
G:/XXX/XXX/XXX/样本.exe
-------------------------------------
排除
G:/XXX/*/*/*.*
感染
G:/XXX/XXX/XXX/*.*
G:/XXX/*/*.*
-------------------------------------
排除
G:/XXX/XXX/*/*/*.*
感染
G:/XXX/XXX/*.*
G:/XXX/XXX/*/*.*
------------------------------------
排除
G:/XXX/*/*/*.*
感染
G:/XXX/*.*
G:/XXX/*/*.*
-----------------------------------
排除
G:/*/*/*.*
感染
G:/*.*
G:/*/*.*
----------------------------------
以上4条优先级高至低为从上至下
其他盘不感染

补充 :假如G:/XXX/是中文目录 则不感染G:/*.*和G:/*/*.*

(这个中文目录 可能是除掉有日文汉字的目录吧... )


发现某个文件夹下*.*并不会全部被感染 那个文件夹名字是I386 - - .... 但可以确认不是数量的关系


其他文件夹都有好好的全部感染了..................

4.删除文件的规律还没发现 但是可以确认并不是全部删除program的(可能是我的刚好在其他盘? )
... 我这里只是删除了IE 声卡驱动带的某软件 winrar


5. 加上这条 病毒不访问网络 ..... 至少在我刚测试的第6次的开始2分钟........

不知道是否有系统语种判断 这里是英文系统.. +中文区域 尝试用APP转区病毒错误- -

有空再把系统转到日区看看

= v = lucky star.exe是我拿去免杀卡巴以后的 .以后会放上来- -.. 传原始病毒样本吧 看附件

现在基本还没多少个能杀 不过就卡巴一个都够不爽了

另外说下此病毒结束进程后停止感染 .... 就是说只要打开了 手快按下电源就没事了

过一切主动防御...




另外提一下 说是感染不如说是覆盖..............

有爱测试 by inerir= =

00.



01.



因为要灭的人暂时不在- - |||| 不想那么早放出来给大家去提交了...

所以 免杀版延期.... - - |||~

微点..是靠特征码才能报那个文件的 所谓主动防御.. 微点不打开文件是用不了主动防御模块的

初代的微点也不提供扫描功能呢- - ....

mofunzone

好像星期六就有这个样本了。。
反应快的都杀了。。
File:         123.zip
Status:         INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5         2f249e869223ed28b0c0c08247c58487
Packers detected:         -

Scanner results
Scan taken on 01 May 2007 02:59:02 (GMT)
A-Squared         Found nothing
AntiVir         Found TR/Luxmap
ArcaVir         Found Trojan.Haradong.Ap
Avast         Found nothing
AVG Antivirus         Found nothing
BitDefender         Found nothing
ClamAV         Found nothing
Dr.Web         Found nothing
F-Prot Antivirus         Found nothing
F-Secure Anti-Virus         Found Trojan.Win32.Haradong.ap
Fortinet         Found W32/Haradong.AP!tr
Kaspersky Anti-Virus         Found Trojan.Win32.Haradong.ap
NOD32         Found nothing
Norman Virus Control         Found W32/Haradong.B
Panda Antivirus         Found Trj/Harandong.A
Rising Antivirus         Found nothing
VirusBuster         Found nothing
VBA32         Found nothing

电影结束了

卡巴斯基互联网安全套装 7.0 Beta
The requested URL http://bbs.kafan.cn/attachment.php?aid=62197 is infected with Trojan.Win32.Haradong.ap virus

tracydk

Starting the file scan:

Begin scan in 'F:\样本\病毒.zip'
F:\样本\病毒.zip
  [0] Archive type: ZIP
  --> zip_v-3/test.exe
      [DETECTION] Is the Trojan horse TR/Luxmap
      [INFO]      The file was deleted!

kfcnknight

在这写了个东西：\Temp\~DFD89D.tmp

然后出现画面，开始感染，阻止后直接结束进程就可以了……

猜测，EQ　MS能拦截

soul20010

Result: 1 malware found
Trojan.Win32.Haradong.ap (virus)

    * C:\Documents and Settings\ÉÙÁÖ\×ÀÃæ\²¡¶¾.zip\zip_v-3\test.exe

zxkf

早几天己测过了，没什么新技术，只要有FD的都能拦。

promised

九尾野狐

原帖由 aoyang 于 2007-5-1 10:57 发表
另外说下此病毒结束进程后停止感染 .... 就是说只要打开了 手快按下电源就没事了

过一切主动防御...

可以看看这个帖子

http://bbs.kafan.cn/viewthread.php?tid=79147&extra=page%3D4


aoyang 兄台测试的真全面

aoyang

这个基本反应快的都能杀了，关键是这个样本，好象很多带主动防御都无视。
有主动防御的要测试就关闭病毒库，用主动防御来测试。如果出现变种，特征码不能识别，到时候靠主动防御的就挂了，死得好惨