卡飯樣本區的測試文件
http://bbs.kafan.cn/viewthread.php?tid=123737

引用:

即将诞生的新病毒,号称"天下无敌"723ABA 0457EB

即将诞生的新病毒,号称"天下无敌"
转自http://www.hackpro.cn/viewthread.php?tid=2732&pid=9894&page=1&extra=page%3D1#pid9894


今天无意中,看到用VB写出来的两个程序,
目前任何结束进程的工具都没法结束的文件:kill.exe
另一个就是程序在运行,但是找不到文件所在位置的程序:cs.exe
这两个文件稍后我在附件里放上去给大家下载参考.
6e/r;q/s1^3h4^反病毒论坛,论坛求助,反病毒,计算机安全,系统安全,杀毒软件,杀毒工具,辅助工具,反病毒,反木马,反流氓软件这两个文件合二为一.就实现了"天下无敌",目前病毒暂且在研究之中...相信会在不久问世.
      专家提醒:这种病毒在问世后,杀毒软件不会报病毒,即使报了病毒,也没法结束和删除.因为开始已经说过了,一:找不到文件:二:结束不了进程;所以,大家要警惕互联网上的网站挂马,以及不明文件不要随便运行.

        该病毒咨讯:由:计算机反病毒论坛.独家发表.
http://www.hackpro.cn/attachment.php?aid=881

下面用EQ測試

運行cs.exe



按下中間的Command2，出現左邊的小視窗還有運行iexplore.exe！











運行KiLL.exe



按下Protect



按"阻止"出現



再來



按下Deprotect



按"阻止"出現



[ 本帖最後由 Roger 於 2007-8-29 20:46 編輯 ]

密碼為：

virus

我沒有辦法運行那個cs.exe
第二個kill.exe在kav 7下可以正常阻止

引用:

原帖由 ㄚ一 於 2007-8-29 23:54 發表
我沒有辦法運行那個cs.exe
第二個kill.exe在kav 7下可以正常阻止

這樣的話，kav7應該可以通過unhookers tests吧！

下面測試 Comodo Firewall V3.0.8.214

1.運行cs.exe









Comodo Firewall V3.0.8.214 的 FD 很強，這種路徑也可攔截！

而EQ



到這才知道他的路徑



2.運行KiLL.exe

被過

因為他還沒添加，攔截"直接操作系統內核"，的功能！

不想多說什麼  自己看

CS ROOTKIT 隱藏 StreamName  自己點圖放大看有何不同




KILL  是可以殺死的
個人殺死了也看見藍天白雲了  對付這種頑固份子  用強力手段 斷電  PE 啟動刪檔

剛測試一下，EQ和COMODO的FD

報的路徑不同

 

EQ的兔總版，對於"FD報的路徑"作說明

我經過調整EQ規則後 成功擋下Kill.exe
謝謝大大提供樣本

這麼說預設狀態下的ＥＱ防不住嗎？

引用:

原帖由 ㄚ一 於 2007-8-30 19:00 發表
這麼說預設狀態下的ＥＱ防不住嗎？

在預設狀態下，

"直接操作系統內核"是"詢問並且允許"，

除非那個詢問框，過了30秒，他還沒按"阻止"

正常一般程式不會有這個操作，可以設定為

直接"阻止"！

引用:

原帖由 Roger 於 2007-8-30 19:55 發表


在預設狀態下，

"直接操作系統內核"是"詢問並且允許"，

除非那個詢問框，過了30秒，他還沒按"阻止"

正常一般程式不會有這個操作，可以設定為

直接"阻止"！

我都把預設30秒改成-1

一定要我親自確認...避免30秒後自動執行

回ㄚ一：

卡7跳出什麼攔截視窗

回peter_yu:

請問GSS和SNS有被KiLL.exe過嗎

如果被過，是否考慮上報！

已經有人上報給COMODO 了！

引用:

原帖由 Roger 於 2007-8-30 20:55 發表
回ㄚ一：

卡7跳出什麼攔截視窗

回peter_yu:

請問GSS和SNS有被KiLL.exe過嗎

如果被過，是否考慮上報！

已經有人上報給COMODO 了！

不考慮上報  我很少上報  這支根本不擔心

我的意思是我更改了我自己設計的規則,並且允許了這個程式的所有詢問後,依然可以防住