这类淘宝图标拦不住

显示全部楼层 · 发表于 2010-10-15 15:16:23

本帖最后由老佳于 2010.10.15 18:38 编辑

人气不足，灌点水
来自样本区，已入库，改MD5。已传网盘http://www.vdisk.cn/down/index/5122001A9304 想试的关闭云上传

用的是7.5 1002r 懒得升到u

大致肉眼看到的情况:运行样本，后台调用ie联网，桌面生成淘宝等恶意快捷方式，随即卫士的桌面图标防护弹出来ko恶意图标，无用，继续生成，再弹，再生成，反复循环。
查看任务管理器里有2个同名SVCHOST.EXE，病根在此。追查发现衍生物在system文件夹下，其自身复制进程，相守保护，故手动taskkill不掉，用xt终止掉进程终才解决问题。

哦对了，\Local Settings\Temp\里还有个svchost.exe（小写）生成并运行,IE就是它调用的吧，貌似文件关联也被改了

没有hips软件查看具体整个过程，仅仅是偶个人把自己看到的简单描述下，hips区的就别来掺水了......

显示全部楼层 · 发表于 2010-10-15 15:41:23

这个我记得以前测试的时候不就出现过，拦截不了吗

显示全部楼层 · 发表于 2010-10-15 15:41:52

。
这个“淘宝XX”在别人的机子上经常见过。。

好像用7.3版本可以清除掉。。。

以前在很多小白机子上见过“淘宝购物”的图标链接，，那时候可以用6.0版清掉。。。

显示全部楼层 · 发表于 2010-10-15 15:50:01

chentianyu 、、、
楼主大名？下次要打马赛克哦[:26:]

显示全部楼层 · 发表于 2010-10-15 15:50:47

结果一样
这种模仿系统文件名的直接就应该干掉了，记得TF就有这种规则判断

显示全部楼层 · 发表于 2010-10-15 15:55:22

这人快烦死我了。。。

显示全部楼层 · 发表于 2010-10-15 15:59:51

另外启动项拦截被穿，就是那种最原始的最简单的开始菜单启动栏写入，早说过这个地方要禁止一切写入了
效果就是双击这个（=系统启动时自动启动效果），之前结束的进程都复活了

显示全部楼层 · 发表于 2010-10-15 16:21:47

对淘宝一类的一向拦截不是很好

显示全部楼层 · 发表于 2010-10-15 16:58:53

金山卫士可以清除掉~

显示全部楼层 · 发表于 2010-10-15 17:21:06

chen116 发表于 2010.10.15 15:50
chentianyu 、、、
楼主大名？下次要打马赛克哦

虚拟机，同学的名字......

[讨论] 这类淘宝图标拦不住

评分