超牛的TDSS，打印注入的漏洞已经修复，完美拦截

显示全部楼层 · 发表于 2010-10-5 12:36:03

本帖最后由 leisong 于 2010.10.11 16:49 编辑

样本来自于http://bbs.duba.net/thread-22303314-1-1.html

360有拦截，但拦截后病毒DLL成功注入系统进程SPOOLSV.EXE，且显示360那个自保驱动被对象劫持（莫非针对360的？？？），但影子还原后没显示劫持了，劫持前后MD5是一样的，究竟是被感染？？？？还是XUETR0.36检测有误？？
据大牛解释说是XUETR BUG

http://bbs.kafan.cn/thread-806386-1-1.html 就是此帖提供的样本地址，贴主同样表示把“被感染的文件从虚拟机中拖到实机中来验证，确实没被感染呢。难道病毒在开机启动后自我解毒了？”

难道真如该贴所说，加载到内存中的驱动和实机中的驱动是不一样的么？再关机回写？启动后再复原干净驱动？

求真相和科普

显示全部楼层 · 发表于 2010-10-5 12:40:57

菜鸟等待答案

显示全部楼层 · 发表于 2010-10-5 12:45:47

8楼肯定知道

显示全部楼层 · 发表于 2010-10-5 12:57:40

我等小白坐等MJ科普。

显示全部楼层 · 发表于 2010-10-5 12:59:05

等MJ等官人解释

显示全部楼层 · 发表于 2010-10-5 13:00:42

回复 1楼 leisong 的帖子

咦？入库了？

显示全部楼层 · 发表于 2010-10-5 13:01:38

我不是8l 围观

显示全部楼层 · 发表于 2010-10-5 13:02:41

回复 6楼 dm34343667 的帖子

很老的病毒了，肯定入库了。修改MD5再测吧

很遗憾：8F并未公布真相

显示全部楼层 · 发表于 2010-10-5 13:04:58

回复 8楼 leisong 的帖子

MD5修改器我没，传一个我测下嘿嘿谢谢

显示全部楼层 · 发表于 2010-10-5 13:11:34

回复 9楼 dm34343667 的帖子

建议大家测的时候关掉云计划，否则一会儿就又杀掉了，这样别人还可以测

注意测试一定要在虚拟系统，影子也行

[讨论] 超牛的TDSS，打印注入的漏洞已经修复，完美拦截