微点交流论坛

标题: 想用微点挑战病毒的请进来 [打印本页]

作者: xhtxht 时间: 2007-1-18 09:04 标题: 想用微点挑战病毒的请进来

http://bbs.kpfans.com/viewthread ... =page%3D1#pid439710

[ Last edited by xhtxht on 2007-1-18 at 09:26 ]

作者: xhtxht 时间: 2007-1-18 09:06 标题: 想用微点挑战病毒的请进来

http://bbs.kpfans.com/viewthread ... =page%3D1#pid439710

[ Last edited by xhtxht on 2007-1-18 at 09:27 ]

作者: linovo 时间: 2007-1-18 09:20
我觉得楼主应该把题目改一下：改为“想用微点挑战病毒的请进”^_^

作者: nosounds 时间: 2007-1-18 09:50
那个也叫病毒？昏倒

那个是个专门写的，直接删除ntldr文件的工具

和你自己去运行format没什么本质区别

先把病毒的定义搞清楚了

如果这个定义为病毒，那么windows里的del deltree format等等都是病毒

作者: lfliuy 时间: 2007-1-18 09:56
...为什么要改这个名字呢？
我觉得应该改称“想用微点测试运行format的进来..."

p.s 运行程序微点是没有任何反应的......

作者: Legend 时间: 2007-1-18 10:08
楼主可以把样本发到virus@micropoint.com.cn我们具体测试分析下

作者: jaber 时间: 2007-1-18 10:15
呵呵看了下，引用杂们另外一个版主的话：（引用于ZQR）

不知这个东西和你自行运行FORMAT 有啥区别....
利用普通用户对于本地和远程系统权限知识的不足.存心误导嗦.
阁下不妨试试挂到网马中去..看它有没权限运行..

挂上了俺再来试试.

PS: 楼主既然提供解决方案似乎忘记了提醒多系统的朋友.你那个修复方式貌似要出错的哦

作者: soonbest 时间: 2007-1-18 10:21

Quote:

Originally posted by jaber at 2007-1-18 10:15:
呵呵看了下，引用杂们另外一个版主的话：（引用于ZQR）

不知这个东西和你自行运行FORMAT 有啥区别....
利用普通用户对于本地和远程系统权限知识的不足.存心误导嗦.
阁下不妨试试挂到网马中去..看它有没权限 ...

原来如此。谢谢。
网上似乎有人故意搅浑水啊，欺负俺们菜鸟不懂是不是？

作者: 反黑先锋 时间: 2007-1-18 11:41 标题: 顶顶楼主

Quote:

Originally posted by nosounds at 2007-1-18 09:50:
那个也叫病毒？昏倒

那个是个专门写的，直接删除ntldr文件的工具

和你自己去运行format没什么本质区别

先把病毒的定义搞清楚了

如果这个定义为病毒，那么windows里的del deltree format等等都是病毒

生成档

by baba_yu

:cool:对　这程序不能定义为病毒　但效果不错　建议微点可以考虑把此类行为加入动态仿真反病毒专家系统。

[ Last edited by 反黑先锋 on 2007-1-18 at 13:30 ]

作者: 青豆 时间: 2007-1-18 17:09
微点似乎对单纯的bat文件没有反映
我曾写过一个bat文件,不断的拷贝一个文件到某个目录,然后将拷到目录下的文件删除,bat文件里面是一个死循环,运行后,机器cpu占用率马上100%,但微点没有反映.

至于更危险的操作,没有实验过.

作者: xhtxht 时间: 2007-1-18 19:04
我不知道是不是病毒，但是它解压后是一个貌似压缩文件的图标，初鸟会把它当压缩文件来运行，如果作者要是加一个程序在里面在解压的时候就自动运行怎么办？这个文件也是别人发给我测试的，结果我电脑挂了。

出现的现象是出来一个小框框：说什么系统要重启，可惜我无法抓图（因为系统重启了），再后来开机就是自检过程中出现：NTLDR is missing,please press any key to restart.

我用了网上的方法：
1、将WindowsXP安装光盘放入光驱
2、进入BIOS设置为Boot From CD-ROM
3、当显示到“Press any key to boot from the CD”时，按下任意键
4、当进入到Windows XP安装菜单时，按下“R”键进入故障恢复台。
5、按下“1”键和回车登录进入你的Windows安装
6、输入你的Administrator帐户和密码
7、拷贝俩个文件到系统所在分区，假设你的光驱为F盘符。按照下面例子：

copy F:\i386\ntldr c:\
copy F:\i386\ntdetect.com c:\

没有完全解决问题，但可以进入系统，会出现在DOS下运行，再过会就进XP，后面就正常了，因为INI文件也没删除了，有可能要用attrib命令写入硬盘，不能简单的copy。

作者: nasdaq 时间: 2007-1-19 23:08
回楼上，光拷贝ntldr和ntdetect.com当然会进到命令提示符，没看到反黑那帖说这程序连boot.ini也删掉了么？

boot.ini是配置启动环境用的，如果没有的话，windows会默认启动C盘的操作系统，就是楼上朋友目前的那种状况。

看反黑给出的说明，这程序可够损的，从Win98-2003全干掉，一律不能启动。。。

严格意义上讲，这类程序不能算作病毒，因为他不具备有传染性，我觉得算作恶作剧程序比较准确。

遇到病毒作者一定要先骂他祖宗十八代，然后再扭送到公安局，最近的熊猫烧香给多少人带来了灾难~！！！也就是咱们论坛的网友接触微点早，平安无事撒。

作者: happy615 时间: 2007-1-20 08:42
微点是不是岂今为止的病毒都能杀？

作者: flykiss 时间: 2007-1-20 13:25
我测试了，一秒后关机，就进不了系统了`~
微点一点反映也没有~~~~~~ 5555555555555

作者: 八闽汀江子 时间: 2007-1-20 13:39
微点如果能把这种危害系统的“危险操作”（不同于病毒）也列入专家系统的话，确实也是很好的！

我也去试了，双击到第8下的时候终于趴下了。不过早想换个据说只有SP2的上海政府版试下，所以干脆重装。

重新安装系统后再装微点，微点跳出的是普通测试版的系列号，而不是我以前预升级版的系列号了！从这里我们也可以驳斥那些说微点写隐藏分区并且重新安装也依然存在的言论了！

作者: Legend 时间: 2007-1-20 16:19
微点主动防御软件是依据程序行为判断病毒的，程序有了病毒的行为微点就会处理他的。楼主的样本经分析属于恶意程序，直接删除系统引导程序，造成系统无法正常启动。
病毒与反病毒的对抗，就像魔道之争，永远不可能停歇，所以世上没有绝对的安全之言。谢谢广大网友的相关建议，我们会认真进行分析。微点软件尚处于测试阶段，我们非常重视每一位网友、用户的意见，以使微点主动防御软件不断完善。东方微点欢迎您及每一位网友、用户继续深入测试微点主动防御软件。

作者: xhtxht 时间: 2007-1-20 17:04
微点已经把这个程序列入了反病毒引擎，已经可以查杀这个恶意程序

作者: zqrsc 时间: 2007-1-20 17:25
对系统核心文件的保护微点可以列入考虑了.虽然可能会给微软的升级造成些困扰..
这类恶作剧程序虽然不能被挂马执行.但是不排除被利用'"社会工程学'"所欺骗的普通网友.给普通用户造成困扰.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn