过360了! 穿还原卡,加驱,无进程，U盘传播！

显示全部楼层 · 发表于 2011-4-22 11:25:09

本帖最后由 nazisoft 于 2011-4-22 11:41 编辑

回复 1楼 sirliu 的帖子

这个一个机器狗病毒，可以穿透一切单纯基于磁盘过滤原理的软硬件还原。
测试结果：
（1）只安装冰点还原，运行病毒被穿透
（2）在安装冰点还原的基础上安装360还原保护器，运行病毒，没有被穿透，应该是从原理上防止了穿透
（3）在安装有冰点还原的机器上开启驱动防火墙，拦截了驱动，无法穿透
（4）只安装冰冻精灵，没有被穿透，应该是从原理上防御了穿透
（5）在安装PCI还原卡的机器上运行病毒，结果被穿透（6）无法穿透易速还原
（7）由于时间关系，Shadow Defender、Returnil没有一一测试

显示全部楼层 · 发表于 2011-4-22 12:22:50

2011-04-22 12:19:25 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\ngmth.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:19:32 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\ngmth.drv",MyLove
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-04-22 12:19:35 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\ngmth.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:19:38 加载驱动程序    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~jse.tmp
触发规则:所有程序规则->*

2011-04-22 12:19:38 删除文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\ngmth.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:19:41 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Program Files\Common Files\SysLive.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\*

2011-04-22 12:19:42 创建文件    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\qnlss.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:19:44 运行应用程序    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\qnlss.drv",MyLove
触发规则:应用程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe->%windir%\system32\rundll32.exe

2011-04-22 12:19:46 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\qnlss.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:19:49 加载驱动程序    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~ese.tmp
触发规则:所有程序规则->*

2011-04-22 12:19:49 创建注册表值    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:19:49 创建注册表值    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:19:50 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~jodbhg.tmp
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*

2011-04-22 12:19:50 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F "F:\virus\syslive\SysLive.exe" > nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

显示全部楼层 · 发表于 2011-4-22 12:28:38

回复 32楼 hddu 的帖子

2011-04-22 12:19:50 加载驱动程序操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~jodbhg.tmp
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*

......允许加驱了

显示全部楼层 · 发表于 2011-4-22 12:34:28

再测试

2011-04-22 12:27:37 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\bthna.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:27:39 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\bthna.drv",MyLove
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-04-22 12:27:41 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\bthna.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:27:46 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~vvl.tmp
触发规则:所有程序规则->*

2011-04-22 12:27:47 删除文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\bthna.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:27:50 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Program Files\Common Files\SysLive.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\*

2011-04-22 12:27:51 创建文件    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\mfbht.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:27:53 运行应用程序    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\mfbht.drv",MyLove
触发规则:应用程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe->%windir%\system32\rundll32.exe

2011-04-22 12:27:54 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\mfbht.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:27:59 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~xxd.tmp
触发规则:所有程序规则->*

2011-04-22 12:28:00 创建注册表值    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:28:00 创建注册表值    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:28:01 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~gumeqn.tmp
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*

2011-04-22 12:28:01 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F "F:\virus\syslive\SysLive.exe" > nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

显示全部楼层 · 发表于 2011-4-22 12:46:54

09年左右的老毒了

基本上就是映像劫持360 加驱穿还原禁用系统墙注入到iexplorer和svchost 复制自身到U盘虽然是恶性病毒但基本上装了杀软都能轻松KILL

显示全部楼层 · 发表于 2011-4-22 12:54:39

第三次测试，全允许了。

2011-04-22 12:39:55 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\ukfph.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:39:57 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\ukfph.drv",MyLove
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-04-22 12:39:59 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\ukfph.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:40:03 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~ehb.tmp
触发规则:所有程序规则->*

2011-04-22 12:40:03 删除文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\ukfph.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:40:06 创建文件    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\Program Files\Common Files\SysLive.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\*

2011-04-22 12:40:07 创建文件    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\fnhbn.drv
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.drv

2011-04-22 12:40:08 运行应用程序    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\fnhbn.drv",MyLove
触发规则:应用程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe->%windir%\system32\rundll32.exe

2011-04-22 12:40:10 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\fnhbn.drv
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->?:\Documents and Settings\*

2011-04-22 12:40:13 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\~dpt.tmp
触发规则:所有程序规则->*

2011-04-22 12:40:14 创建注册表值    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
注册表名称:[Key]
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:40:14 创建注册表值    操作:允许
进程路径:C:\Program Files\Common Files\SysLive.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
注册表名称:SysLive
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run*

2011-04-22 12:40:14 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~pdbcbq.tmp
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\Documents and Settings\*\Local Settings\Temp\*

2011-04-22 12:40:14 运行应用程序    操作:允许
进程路径:F:\virus\syslive\SysLive.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /F "F:\virus\syslive\SysLive.exe" > nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

直接重启。

2011-04-22 12:41:46 创建文件    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\Documents and Settings\Administrator\???????*-?
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*

2011-04-22 12:41:48 运行应用程序    操作:阻止
进程路径:C:\Program Files\Common Files\SysLive.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Documents and Settings\Administrator\mbquq.drv",MyLove
触发规则:应用程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe->%windir%\system32\rundll32.exe

显示全部楼层 · 发表于 2011-4-22 12:54:54

7.7的360卫士没过啊？
时间操作说明次数
12:41:52 已清除发现木马：Win32/Trojan.d54 1
详细描述：
木马名称：Win32/Trojan.d54
所在路径：C:\PROGRAM FILES\COMMON FILES\SYSLIVE.EXE
12:41:46 自动阻止进程创建 1
详细描述：
进程：C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SYSLIVE\SYSLIVE.EXE
动作：进程创建
路径：C:\PROGRAM FILES\COMMON FILES\SYSLIVE.EXE
12:40:27 已清除发现木马：Win32/Trojan.e21 1
详细描述：
木马名称：Win32/Trojan.e21
所在路径：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tidpho.tmp
12:40:26 已清除发现木马：Win32/Trojan.e68 1
详细描述：
木马名称：Win32/Trojan.e68
所在路径：C:\Documents and Settings\Administrator\dcagk.drv
12:40:23 已清除发现木马：Win32/Trojan.e68 1
详细描述：
木马名称：Win32/Trojan.e68
所在路径：C:\Documents and Settings\Administrator\gomph.drv
12:40:21 已清除发现木马：Win32/Trojan.e68 1
详细描述：
木马名称：Win32/Trojan.e68
所在路径：C:\Documents and Settings\Administrator\gomph.drv
12:40:19 自动阻止驱动/服务 5
详细描述：
进程：C:\Documents and Settings\Administrator\桌面\syslive\SysLive.exe
动作：服务创建
路径：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~tidpho.tmp
12:40:18 已阻止修改Windows文件保护 1
详细描述：
进程：C:\Documents and Settings\Administrator\桌面\syslive\SysLive.exe
动作：系统文件修改
路径：
12:40:16 已阻止远程线程注入 1
详细描述：
进程：C:\Program Files\Common Files\SysLive.exe
动作：远程线程注入
路径：C:\WINDOWS\System32\SVCHOST.EXE
12:40:12 已阻止修改组策略启动项 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\[SysLive]
注册表内容：C:\Program Files\Common Files\SysLive.exe
进程：C:\Program Files\Common Files\SysLive.exe
12:40:06 自动阻止进程创建 1
详细描述：
进程：C:\PROGRAM FILES\COMMON FILES\SYSLIVE.EXE
动作：进程创建
路径：C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
12:40:02 已阻止试图关闭360安全卫士 1
详细描述：
进程：C:\WINDOWS\System32\Rundll32.exe
动作：攻击360安全卫士
路径：
12:40:02 自动阻止进程创建 1
详细描述：
进程：C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SYSLIVE\SYSLIVE.EXE
动作：进程创建
路径：C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

显示全部楼层 · 发表于 2011-4-22 12:55:33

BitDefender
system.dll Trojan.Generic.1939872
SysLive.exe Worm.Generic.256249
AutoRun.inf Trojan.Autorun.ADO

显示全部楼层 · 发表于 2011-4-22 13:21:20

回复 5楼 sirliu 的帖子

扫描党居多

显示全部楼层 · 发表于 2011-4-22 13:39:56

sanhu35 发表于 2011-4-22 12:28
回复 32楼 hddu 的帖子

2011-04-22 12:19:50 加载驱动程序操作:允许

有危险？

[病毒样本] 过360了! 穿还原卡,加驱,无进程，U盘传播！

评分

评分