微点交流论坛 - 微点主动防御软件 - 唉，又见微点杀不尽的毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » 唉，又见微点杀不尽的毒

星光HEAVEN
中级用户

积分 494
发帖 492
注册 2009-8-3

#1 唉，又见微点杀不尽的毒

该样本是被感染的安装包，可以被卡巴，红伞正常查杀，其中红伞报HEUR。笔者机器为雨林木风GHOST XP SP3 9.9，杀软为红点组合，红伞无监控。实机运行测试，微点报警，要求重启删除。
重启后是能杀得掉，但出了两个问题:一是红伞启动不了了，avcenter,avgnt,sched这三个进程被屏蔽。二是微点杀毒能力变弱，对于同类带毒文件，只能特征识别其下一级衍生物(因为以前见过，连原文件一起都可杀)并杀除，对原文件无动作(日志里说处理成功，但文件没动)。诡异的是，在进程，模块，自启中都未见异常。除了一个文件ntsd.exe(附件中有，微点显示为微软文件，为Winlogon创建)我认为可疑，但不知如何处理。我猜是病毒修改了特定文件，进程关联的问题。后来重装几次红伞，都打不开。在虚拟机上以相同条件重复测，发现不仅红伞，小A与AvG等也被屏蔽了。
这次测试说明微点在回滚上还是有不足。从日志上看，病毒调用SVCHOST，CMD创建文件，修改参数。我想可能是检测不彻底的原因之一吧。
现在我的机器除微点外，还装不了任何杀软。希望微点官方能对该样本详细分析一下，对其运行原理，创建文件，修改参数等给个详尽回复。尤其请帮解决一下红伞等杀软被封的问题!十分感谢。
另，含有该贴地址的邮件已发送，内含技术支持信息，样本与截图，望速查收，并尽快回复。

※ ※ ※ 本文纯属【星光HEAVEN】个人意见，与【微点交流论坛】立场无关※ ※ ※

期待主防2.0！

2009-10-29 12:48

星光HEAVEN
中级用户

积分 494
发帖 492
注册 2009-8-3

#2 占楼

通过自己进一步研究，该病毒屏蔽杀软的原理我已大致了解了。猜想正确，ntsd.exe本身是微软的Debug文件，但在此被病毒利用，以进程关联的形式，达到屏蔽的目的。
http://mpicture.micropoint.com.c ... bd6f5e127fc0418c209
从Autoruns的截图可看出，它的"打击面"够广，360，红伞，卡巴，诺顿，瑞星，包括微点(如果先中毒后装，肯定也起不来)，都在屏蔽范围内。还有一些我不认识的。删除有关的全部启动项(因为此前在微点里还删了一部分，这是剩下的，而avgnt的Debug项已被我在截图前删掉，所以可以看到红伞的托盘了，但avcenter还出不来)，一切恢复正常。

感言:灭杀软的毒见过不少，但这个可挺有特色。不遍历进程，不释放驱动，不劫持映像，直接利用SVCHOST创建Debug文件，可谓以逸待劳。也正因为用的是系统命令，所以微点没对相关项目回滚。微点要加油了!
清毒过程中，觉得除了主防技术本身，微点还有些其他需改进之处，在此汇总一下:
自启信息方面:
感觉除了白名单，和Auto比起来确实有些相形见绌。首先对ntsd.exe的指向就不够细，而且还说是正常软件，白名单在这里反而成了病毒"迷彩服"。
http://mpicture.micropoint.com.c ... d4e0c61a8b36cce9640
而Auto的显示，一看名称，就知道出事了。
并且Auto有一个compare的功能，很好用。微点该考虑也做一个，尤其可以针对性解决这次的情况。
不过我还有个更好的思路，微点不是有注册表监控吗?凡自启动必更改注册表，所以完全可实时对自启变化进行监测，而不是每次都重新扫一遍。这样还有个好处，就是可以显示各项的真实生成时间!
本来注册表日志中，是有病毒在Debug上乱来的痕迹的，但在自启中却看不出。看样子单靠白名单来分析也不行。显示具体时间，不失为一个好的补充。另外在清理上，一个一个删实在太费时间了。能一次处理多个才好。还有，微点可能是出于安全性考虑，对已知项是不可删的。但以此案例来看，这个限制似乎也该放开了。
顺便说句题外话，微点也该开放进程模块卸除与全局卸除了，道理其实是一样的。
关于日志方面:
鉴于可能再次发生的回滚不全，强烈建议在程序，注册表日志中，让用户手动操作微点对指定项回滚。
还有就是进程日志，信息还是不够细。加上父进程信息，退出情况(是自动还是被其他哪个进程terminate)，以及启动失败情况及其原因方面的信息，会更好。
另外内核注入，系统命令调用方面也该有日志的!希望下一版本能做出来。
扫描问题:
扫描，尤其是虚拟机动态启发式扫描，远不像某些马甲所声称的那样一无是处。觌如这个样本，看上去挺新，伞没有定义，但红伞的启发仍然表现出色。虽然经测试，微点杀软a版没杀出来(郁闷中)，但可以想像，整合了拥有红伞般强大能力的启发式监控与扫描器的微点，将掀起怎样的狂潮……至少不是今天的麻烦!扫描上还是要下功夫的!
以上是个人的一些感想和建议，希望官方认真考虑!也期待新版本微点早日发布，并取得更大进步!

[ Last edited by 星光HEAVEN on 2009-10-30 at 13:03 ]

※ ※ ※ 本文纯属【星光HEAVEN】个人意见，与【微点交流论坛】立场无关※ ※ ※

期待主防2.0！

2009-10-29 12:49

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

感谢楼主的反馈，请问楼主您将相关信息发送到哪个邮箱了（support还是virus）？请您将您使用的发件邮箱通过论坛短消息给我发送一下，以便我们对此问题跟踪处理。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2009-10-29 12:51

images
银牌会员

积分 1429
发帖 1376
注册 2007-11-17

#4

应该是你的红伞被映像劫持了，打开注册表定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]看看里面是否有和你的红伞文件名称相同的右键删除即可。

※ ※ ※ 本文纯属【images】个人意见，与【微点交流论坛】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息

2009-10-29 13:19

yuqing
注册用户

积分 150
发帖 150
注册 2009-7-30

#5

关注一下

※ ※ ※ 本文纯属【yuqing】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-10-29 13:20

qqwangtao
中级用户

积分 456
发帖 454
注册 2009-6-17
来自革命圣地——延安

#6

楼主也是，测试为什么不在虚拟机，或影子系统等重启还原类系统下测试？？！

※ ※ ※ 本文纯属【qqwangtao】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统Xp+Win7，Xp防御武器：金山卫士+微点2.0+影子卫士Win7：金山套装+科莫多防火墙+Threat Fire+微点杀毒

2009-10-29 15:48

safeage
高级用户

积分 695
发帖 693
注册 2007-5-3

#7

这个问题要关注一下。

※ ※ ※ 本文纯属【safeage】个人意见，与【微点交流论坛】立场无关※ ※ ※

一个人做生意,二个人开银行,三个人搞殖民地！
喷血美女跳舞秀： http://hi.baidu.com/safeage

2009-10-29 16:12

星光HEAVEN
中级用户

积分 494
发帖 492
注册 2009-8-3

#8 got it

解决方法已研究出，在二楼

后来在家侧，突然发现该样本微点已入库

（我的特征库是上个月的）。
但想了想还是贴出来了，大家随便看看。顺便说了些感言。

[ Last edited by 星光HEAVEN on 2009-10-30 at 13:02 ]

※ ※ ※ 本文纯属【星光HEAVEN】个人意见，与【微点交流论坛】立场无关※ ※ ※

期待主防2.0！

2009-10-30 12:58

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#9

楼主反馈的样本文件我们已经分析
文件名: JHHB.EXE
结果:该程序为蠕虫病毒，未升级到最新版本的微点能够有效拦截该病毒。
感谢楼主的反馈，此主题关闭，如您还有其他问题需要反馈，请您另开新帖讨论。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2009-11-4 16:21

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号