打印

[測試] 我規則沒設定好?誰能幫忙測試一下?

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

1^# 大中小發表於 2007-11-12 16:47 只看該作者

我規則沒設定好?誰能幫忙測試一下?

不知道是我規則設定太鬆還是...

下面那隻是"tenga"病毒

簡單來說...我今天無聊在運行這隻感染型病毒時...

EQ出現了三次執行應用程序的指令以後就沒反應了

當時我只是想說，看來SREng中毒就不會啟動了= =

結果...打開卡巴...傻眼...

連續跳出一堆檔案中毒...Orz

有誰能幫忙測試一下...Orz

另外這隻毒好像只會在某個槽區運行

例如你在C槽運行他，他就只會感染C槽的檔案?

病毒檔案在附件

真的是用電腦以來第一次覺得有開系統還原好棒...

(因為我沒開虛擬系統...)

[ 本帖最後由任性緋紅於 2007-11-12 16:48 編輯 ]

附件: 您所在的用戶組無法下載或查看附件

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

asusp4b533

LieroX - NewBie

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 1147
精華: 1
威望: 4575
黃金: 5982
註冊時間: 2007-8-13

2^# 大中小發表於 2007-11-12 17:44 只看該作者

回復 #1 任性緋紅的帖子

可以把你的規則傳上來嗎

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

3^# 大中小發表於 2007-11-12 18:13 只看該作者

回復 #2 asusp4b533 的帖子

這個嗎

附件: 您所在的用戶組無法下載或查看附件

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

4^# 大中小發表於 2007-11-12 19:03 只看該作者

回復 #3 任性緋紅的帖子

你該不會用學習模式吧

請注意，有些病毒會控制Explorer.EXE,svchost.exe........等，

進而叫他們作壞事，

測病毒時，請勿給那些系統進程太大的權限！

[ 本帖最後由 Roger 於 2007-11-12 19:06 編輯 ]

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

5^# 大中小發表於 2007-11-12 19:14 只看該作者

回復 #4 Roger 的帖子

沒用學習模式...

不過svchost.exe不小心給他全部允許

後來檢查一次才發現

在猜測是不是感染到我信任的檔案才會變成這樣= =|||

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

6^# 大中小發表於 2007-11-12 19:17 只看該作者

回復 #5 任性緋紅的帖子

以後看到某個系統進程被"修改程序記憶體"時，

代表他將被病毒控制了，

在按允許前，先改一下規則哦！

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

7^# 大中小發表於 2007-11-12 19:21 只看該作者

回復 #6 Roger 的帖子

恩...瞭解

因為當時只看到三個病毒修改自己本身

都允許以後就掛了=3=

開著卡巴PDM跟虛擬系統在測一次看看= =

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

8^# 大中小發表於 2007-11-12 19:42 只看該作者

.........................

我把規則全砍了重新執行一次

第二張圖出現了6遍...一樣...掛了...

兩隻都是同樣的

只是檔名不一樣而已= =

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

9^# 大中小發表於 2007-11-13 07:03 只看該作者

他雖然想控制winlogon.exe，不過最後是一直連網

利用的port：445 ,139

請問您有原來的病毒母體嗎

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

10^# 大中小發表於 2007-11-13 16:42 只看該作者

回復 #9 Roger 的帖子

終於進來了...orz

沒有母體...

這隻算是我偶然發現的

別人執行SREng的時候跳出警告視窗說SREng可能被病毒修改我才注意到這隻...

他會用winlogon.exe創造一堆dll開頭的exe檔案...Orz

這邊有一個介紹

http://www.y2000.com.tw/hot/Worm@W32.Licum.htm

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

Roger

Analyst Expert

Rank: 8 Rank: 8

帖子: 2376
精華: 1
威望: 5383
黃金: 9635
註冊時間: 2007-3-14

11^# 大中小發表於 2007-11-13 17:56 只看該作者

回復 #10 任性緋紅的帖子

Windows 98

有點老了

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

12^# 大中小發表於 2007-11-13 18:25 只看該作者

回復 #11 Roger 的帖子

是啊...可是連XP的都會被感染...Orz

連卡巴PDM也只說有惡意程序要插入這樣

按允許，沒有下一步了，全死

另外解毒後的檔案已經沒用了...真不知道為啥破壞程度打低啊

其實我搞不懂的是...為啥exe被感染連點提示都沒有...

[ 本帖最後由任性緋紅於 2007-11-13 18:27 編輯 ]

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4932
精華: 18
威望: 30838
黃金: 3956
來自: 台灣台北
註冊時間: 2006-12-22

13^# 大中小發表於 2007-11-13 18:36 只看該作者

回復 #12 任性緋紅的帖子

你的KAV有問題
我自己測試必須連續按三次跳過
才會被真正的放行,而且放行之後的行為KAV也會偵測到
注意看這個是紅色的ALARM,不是黃色的,說明我已經跳過了黃色ALARM的警告
最後還可以從SandBox裡恢復竄改

[ 本帖最後由ㄚ一於 2007-11-13 18:39 編輯 ]

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

14^# 大中小發表於 2007-11-13 19:23 只看該作者

我頭好痛啊~~~...我卡巴是官網抓的(中文版)

..............有出來是有出來了...可是...這太慢了點...

...而且點選回溯竟然給我說回溯失敗...Orz

等等在試試看運行完後不開即時防護試試看...Orz

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

ㄚ一

我愛小紅獅

AV Expert

Rank: 8 Rank: 8

小紅獅親衛隊隊長

帖子: 4932
精華: 18
威望: 30838
黃金: 3956
來自: 台灣台北
註冊時間: 2006-12-22

15^# 大中小發表於 2007-11-13 19:33 只看該作者

dk2.0.exe是那個srengps.exe生成的檔案嗎?

Lawliet's blog
Folding@home with GPGPU集中討論串，大家一起來努力朝著全球制霸的目標邁進！

TOP

任性緋紅

Moderator

Rank: 7 Rank: 7 Rank: 7

帖子: 212
精華: 0
威望: 981
黃金: 5378
註冊時間: 2007-7-8

16^# 大中小發表於 2007-11-13 19:35 只看該作者

回復 #15 ㄚ一的帖子

被他感染的檔案

SREngPS.exe也是一樣

因為是從別人電腦拿出來的= =

gin77729 = 任性緋紅 = 迷糊小書僮

TOP

haol

病毒研究室成員

Rank: 7 Rank: 7 Rank: 7

帖子: 482
精華: 0
威望: 3041
黃金: 2711
註冊時間: 2007-1-22

17^# 大中小發表於 2007-12-11 22:30 只看該作者

mcafee可以修復但是檔案壞了> <

TOP

charles1394

高級會員

Rank: 4

帖子: 172
精華: 0
威望: 926
黃金: 987
來自: 台灣
註冊時間: 2007-12-17

18^# 大中小發表於 2007-12-26 14:26 只看該作者

ㄏㄏ下來試看看感覺粉危險ㄟˋ

測試軟體粉好玩

TOP

ghostcch

中級會員

Rank: 3 Rank: 3

帖子: 14
精華: 0
威望: 64
黃金: 12
註冊時間: 2007-4-27

19^# 大中小發表於 2008-1-21 19:12 只看該作者

下了你的規則來看，fd沒任何保護阿，難怪不能阻擋修改，而且怪怪的沒有任何保護模式，

難怪roger猜你是不是學習模式........

既然先知道是病毒，所以我先全部阻止，再慢慢開放權限...

ad 應用程式中新增 sreng子程序sreng 允許，其他詢問並阻止紀錄

rd 應用程式中新增 sreng子程序＊全部阻止紀錄

fd應用程式中新增 sreng子程序＊建立詢問讀取允許修改刪除禁止並紀錄

運作一次，有詢問先全部禁止，等到一直都是修改檔案被阻止時，打開程序管理

將sreng結束，看紀錄發現他會修改自己及winlogon，ad中設定允許在跑一次，

這次會建立遠程連線並生成dl.exe，執行ntvdm.exe（先阻止），再去fd設定dl.exe不能刪除

修改檔案，再跑一次，這次ntvdm.exe可以允許，dl.exe跑出錯誤，並運行conime，至此全

部跑完，剩下也都是修改檔案，檢查並掃毒沒問題發生。

還有興趣就備份登錄檔在繼續玩吧，好像跟密碼有關

我也是新手，比較笨所以土法煉鋼，還請高手出個聲教導一番

[ 本帖最後由 ghostcch 於 2008-1-21 19:16 編輯 ]

徵求深度技術論壇的邀請碼！

TOP

帶您瞭解卡巴斯基2009防禦體系	還有大廠在使用檔案大小判毒	KIS 2009 評測	GDATA 2009中文化簡評
使用過一些防毒軟體之後的心得	Comodo Internet Security Beta	GDATA 2009 行為監控簡評	敢相信掃毒軟體和VT嗎?

[測試] 我規則沒設定好?誰能幫忙測試一下?

我規則沒設定好?誰能幫忙測試一下?

回復 #1 任性緋紅 的帖子

回復 #2 asusp4b533 的帖子

回復 #3 任性緋紅 的帖子

回復 #4 Roger 的帖子

回復 #5 任性緋紅 的帖子

回復 #6 Roger 的帖子

回復 #9 Roger 的帖子

回復 #10 任性緋紅 的帖子

回復 #11 Roger 的帖子

回復 #12 任性緋紅 的帖子

回復 #15 ㄚ一 的帖子

回復 #1 任性緋紅的帖子

回復 #3 任性緋紅的帖子

回復 #5 任性緋紅的帖子

回復 #10 任性緋紅的帖子

回復 #12 任性緋紅的帖子

回復 #15 ㄚ一的帖子