干掉nod监控的一个办法

allenhippo

今天照常上网闲逛找毒网，检查沙盘的时候突然发现沙盘里面c:\program files下出现eset的文件夹（我装了nod32 2.7 30天试用的版本）


开始以为是病毒在nod安装目录下藏毒，后来发现是病毒把nod的nod32.000删除了

这样做有啥子用呢？


好奇的我就直接运行病毒（当然，是在虚拟机上 ）运行后把nod32.000删除了，暂时没有异样。但是重启动之后，amon就被废了



监控开不起来，其他功能没有影响了。

但是后果就是这样的



那个病毒样本发在样本区，有空上报吧，nod上报还分轻重贵贱的，不清楚那个优先级最高。

http://bbs.kafan.cn/viewthread.php?tid=96833

不要说流行不流行了，你去baidu google搜索下这些病毒名就知道了

不过只在虚拟机上试验过，没有在真实环境下试验过

那位在自己机器上试验下，此毒不会感染其他盘，不上网的情况下还是安全的，试好了ghost回来好了

[ 本帖最后由 allenhippo 于 2007-6-14 21:21 编辑 ]

xffsfy

以后每次关机前都要检查一遍启动项了....

hj5abc

试了..
删除后重启进程后,也是提示''...can't be initialized''.
但是马上又恢复了,被删掉的文件又有了.
估计这东西载入内存后删了原文件无影响,估计不是映射入内存的.
只有在重新加载才遇到问题.

hj5abc

有个 000.BAK 估计是备份,以便恢复...
照理说开机后可以恢复才对的..

The EQs

以bak为后缀的一般都是备份文件

hj5abc

问题应该不在AMON被干掉,
而是NOD32不能发现这个网马..
AMON的关键应该在驱动里.

allenhippo

我来解释下，没用过沙盘的可能不知道。

我贴的两个文件里是沙盘里的，不是实际文件夹中的。

沙盘里的表明了病毒的文件操作。你看见的那个nod32.000，大小为0，这表示病毒删除了nod32.000这个文件，但是是在沙盘中运行的，所以是在沙盘的模拟目录下留下这个0字节的文件而不会真的去删我真实目录下的文件，而剩下的那个bak，我觉得也应该是病毒把这个文件改名为Nod32.000.bak的。

沙盘看不见注册表的变化，这个病毒的确也写了些dll在系统目录下，到底是什么导致了amon不好用我也不清楚，我就说一下这个现象

[ 本帖最后由 allenhippo 于 2007-6-14 21:54 编辑 ]

The EQs

用沙盘看的不怎么真实。。。。。另外偶得想个好的标题给斯洛伐克寄去

allenhippo

后来没用沙盘直接运行的了，不过是虚拟机。


你就说This new virus can Kill Amon好了
要不我在我机子上以身试毒

不过下好了铁壳的Symantec Endpoint Protection，刚ghost好装那个玩

[ 本帖最后由 allenhippo 于 2007-6-14 21:56 编辑 ]

hj5abc

那个的确在系统内释放了DLL,还注册了Shellexecutehook
我开了影子,不好重启动测试,所以..
不过在不重加载的话,是可以恢复的..
你用的是VPC吧.

ps.LZ发现了问题,顶你还来不及呢..