打印

[測試] 調適內核的病毒

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

1^# 大中小發表於 2007-10-21 11:33 只看該作者

調適內核的病毒

http://bbs.kafan.cn/viewthread.p ... page%3D1&page=1

會直接操作系統內核的病毒

微點好像被過了！

測試一下自己的HIPS吧！

解殼完，照攔

附件: 您所在的用戶組無法下載或查看附件

TOP

peter_yu

AV Expert

Rank: 8 Rank: 8

帖子: 641
精華: 0
威望: 1029
黃金: 1756
註冊時間: 2007-2-17

2^# 大中小發表於 2007-10-21 12:50 只看該作者

微點能信嗎????? JUST LJ

紅色警告隱藏程序簡單順手 KILL

[ 本帖最後由 peter_yu 於 2007-10-21 12:54 編輯 ]

TOP

tingin

絶対的王者

高級會員

Rank: 4

帖子: 191
精華: 0
威望: 518
黃金: 213
來自: NOAH
註冊時間: 2007-3-30

3^# 大中小發表於 2007-10-21 14:06 只看該作者

只有因為這動作而抓他,如果他沒隱藏的話threatfire不知能不能發現

小紅傘偵測不到,解殼的那個也只是........ [DETECTION] Contains suspicious code HEUR/Malware

TOP

asusp4b533

LieroX - NewBie

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 1146
精華: 1
威望: 4561
黃金: 5976
註冊時間: 2007-8-13

4^# 大中小發表於 2007-10-21 15:38 只看該作者

我的EQ防住了

TOP

SPeter

金牌會員

Rank: 6 Rank: 6

帖子: 1166
精華: 0
威望: 7218
黃金: 7466
註冊時間: 2007-3-13

5^# 大中小發表於 2007-10-21 20:19 只看該作者

回復 #3 tingin 的帖子

您膽子真大，敢拿TH3來試……

除了常見的調用IE外，我通常都猜它攔不到……不過只要還是有那麼多木馬喜歡叫svchost.exe，TH3就還是有那麼一點用。

之前TH3討論區的官方回覆有表示，Threatfire「不算HIPS」，所以原則上，他只抓登記有案的特定行為，沒算進去的都不會抓。

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

6^# 大中小發表於 2007-10-21 22:16 只看該作者

這個卡巴的PDM無法攔截，

可能是卡巴的BUG！

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4928
精華: 18
威望: 30796
黃金: 3896
來自: 台灣台北
註冊時間: 2006-12-22

7^# 大中小發表於 2007-10-21 22:18 只看該作者

引用:

原帖由 SPeter 於 2007-10-21 20:19 發表
您膽子真大，敢拿TH3來試……

除了常見的調用IE外，我通常都猜它攔不到……不過只要還是有那麼多木馬喜歡叫svchost.exe，TH3就還是有那麼一點用。

之前TH3討論區的官方回覆有表示，Threatfire「不算HIPS」 ...

是啊
它的ad規則有些真的很神奇...
摸輕了它的底細後，跟NAB還有微點一樣
除非無聊否則不會再去想用它...

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

嘉和

神父

金牌會員

Rank: 6 Rank: 6

帖子: 1146
精華: 0
威望: 2119
黃金: 1009
來自: Taipei
註冊時間: 2007-2-16

8^# 大中小發表於 2007-10-21 23:55 只看該作者

ZLOCK 2007 miss

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

9^# 大中小發表於 2007-10-23 21:17 只看該作者

第1個詢問框和第2個差了20分鐘

附件: 您所在的用戶組無法下載或查看附件

TOP

tsungchi

註冊會員

Rank: 2

帖子: 6
精華: 0
威望: 14
黃金: 2
註冊時間: 2008-5-6

10^# 大中小發表於 2008-5-6 22:49 只看該作者

avast!!
惡意病毒名字：Win32:Delf-EEZ [Trj]
惡意軟體型別：特洛伊木馬
VPS版本：080505-0, 2008/05/05

TOP

domino

~Domino~

金牌會員

Rank: 6 Rank: 6

帖子: 343
精華: 0
威望: 2062
黃金: 5050
註冊時間: 2007-12-30

11^# 大中小發表於 2008-5-7 03:34 只看該作者

看來上面的都不及格!還是漏了這個

引用:

CLSID\{3718C884-ABF1-4DAC-963A-39B718777D54}\InprocServer32
C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\APPLIC~1\win87qq.dll

C:\Documents and Settings\All Users\Application Data\Microsoft\Application Data 建立
win87qq.dll,termsv.exe
C:\Program Files\Common Files\Real\Update_OB建立
realsched.exe
尋找窗口Ie4Service~Ie9Service 來檢測是否執行中~
如果執行~20分鐘後開始發作..分別執行realsched.exe和termsv.exe 檔案..realsched.exe進行下載
最後再用$$a$$.bat 來結束本身.

[ 本帖最後由 domino 於 2008-5-7 03:43 編輯 ]

TOP

oyyr1998

中級會員

Rank: 3 Rank: 3

帖子: 27
精華: 0
威望: 136
黃金: 331
註冊時間: 2007-8-1

12^# 大中小發表於 2008-5-19 17:01 只看該作者

诺顿可以轻而易举的搞定！！！一解压就报！！

TOP

JetLee

國之北疆

金牌會員

Rank: 6 Rank: 6

帖子: 384
精華: 0
威望: 1628
黃金: 1892
註冊時間: 2007-3-23

13^# 大中小發表於 2008-5-19 18:15 只看該作者

引用:

原帖由 SPeter 於 2007-10-21 20:19 發表
您膽子真大，敢拿TH3來試……

除了常見的調用IE外，我通常都猜它攔不到……不過只要還是有那麼多木馬喜歡叫svchost.exe，TH3就還是有那麼一點用。

之前TH3討論區的官方回覆有表示，Threatfire「不算HIPS」，所 ...

自訂機車一點的規則
啥死人骨頭都會報 =..=

TOP

帶您瞭解卡巴斯基2009防禦體系	還有大廠在使用檔案大小判毒	KIS 2009 評測	GDATA 2009中文化簡評
使用過一些防毒軟體之後的心得	Comodo Internet Security Beta	GDATA 2009 行為監控簡評	敢相信掃毒軟體和VT嗎?