Board logo

标题: 不得了啊,微点防不住“极虎”病毒? [打印本页]
作者: cn_990     时间: 2010-2-8 17:49    标题: 不得了啊,微点防不住“极虎”病毒?

爱毒霸社区的文章,原址:http://bbs.duba.net/thread-22139833-1-1.html

近期,毒霸捕获到高危的感染型下载者病毒,以下是用户的求助:
1)PING.EXE的进程在不停的跳动,无法结束
2)准备装杀软,发现绝大部分杀软网站都无法访问
3)装360杀毒,安装后无法启动杀软,双击无反应
4)装瑞星2010,能安装,重新启动后无法正常启动,所有监控关闭
5)装费尔能杀,能检测到注册表异常,修复后一直报病毒,能删除,但是一直在不停的删除
6)安全模式还没加载完就自动重启
7)微点、瑞星主动防御启动失败
8)360:无法启动,点后也没反应(进程能看到)

监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除,从而导致用户的系统文件受损。

病毒危害:
该病毒会感染用户机器上的所有可执行文件,并联网下载大量盗号、广告类软件,严重危害到系统的安全,同时该病毒非常隐蔽,没有特定的进程,而采用"线程" 插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。

如图所示是在冰刃中查看到的Svchost.exe模块信息:
图片1.png
下载 (22.54 KB)
4 小时前

中毒后的现象:
用户机器出现"很卡"的现象,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。如果清除病毒不彻底的话,用户可能会在重新打开压缩文件时再次中毒。
图片2.png
下载 (17.88 KB)
4 小时前

同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程。
图片3.png
下载 (9.31 KB)
4 小时前

2.正常的系统文件appmgmts.dll被病毒替换:(正常的appmgmts.dll有版本信息等而病毒释放的则没有)
图片4.png
下载 (14.25 KB)
4 小时前


3.系统中一些EXE文件无故变大,例如:看图软件ACDSee被感染前后,文件大小虽改变,但是文件修改时间没变,大部分用户无法发现病毒的潜伏体,一旦点击,后果不堪设想..
图片5.png
下载 (7.48 KB)
4 小时前

图片6.png
下载 (9.59 KB)
4 小时前


文件被感染后,多出了一个".tc节",如图所示:
图片7.png
下载 (16.89 KB)
4 小时前

该病毒还会感染html、htm、asp等网页文件:
图片8.png
下载 (21.55 KB)
4 小时前

感染后会在网页文件的末尾插入一段恶意的挂马网址:
图片9.png
下载 (32.41 KB)
4 小时前

更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去:
(盗用百度被黑时,李彦宏说的:始无前例啊,始无前例)
图片10.png
下载 (5.4 KB)
4 小时前

图中的HH.IDA.Pro.v5.2.rar是已经被感染后的文件,丝毫看不出破绽,因为系统时间也被病毒修复为以前的了...

网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并激活该病毒的新变种
http://208.53.151.219:8080/down/XXX.exe
该病毒的变种会伪装成快播播放器的图标,迷惑用户点击
图片11.png
下载 (6.31 KB)
4 小时前

无缘无故弹出网页文件,打开连接为:http://tj.nba1001.net:7777/tj/mac.html

利用$ipc查看局域网内的所有共享,并试图感染局域网的其他机器。(这里发现了久违的蠕虫特征)

系统被加载由病毒体释放的驱动文件,如果安装的杀软和该驱动有冲突,很容易造成用户机器蓝屏。
以下是病毒释放的驱动文件:
图片12.png
下载 (4.82 KB)
4 小时前


操作系统会弹出提示,关键系统文件被替换
图片13.png
下载 (52.78 KB)
4 小时前


9.毒霸实时防毒会报警,以下是运行病毒母体时毒霸拦截并清除:
图片14.png
下载 (75.15 KB)
4 小时前

10.急救箱检测到大量系统异常:
图片15.png
下载 (80.11 KB)
4 小时前


发现大量安全软件被映像劫持,系统文件被破坏:
图片16.png
下载 (83.27 KB)
4 小时前
作者: 镜湖YES     时间: 2010-2-8 18:10
关注。

还是让点饭的百度空间去找样本让大家瞧瞧。
作者: snhao     时间: 2010-2-8 18:22
关注
作者: Legend     时间: 2010-2-8 18:44
楼主测试病毒样本应该在微点正常能够运行的情况下来测试,中毒之后,病毒可能会阻止您安装安全软件。
请楼主将样本发送到 virus@micropoint.com.cn 邮箱,具体我们分析下。
作者: 点饭的百度空间     时间: 2010-2-8 19:13
金山?是做网游的~ 铁老师也挺时尚 明年估计要出个x兔病毒  额最近帖子太多来不及发 金山造谣微点大家先顶着 等等再发此贴

[极虎] :
  

[极虎] 2010至强病毒!类似熊猫烧香 | 强杀各大杀毒软件
2010-1-19   微点病毒快报:http://bbs.micropoint.com.cn/showthread.asp?tid=64728&fpage=3
作者: cn_990     时间: 2010-2-8 19:48


  Quote:
Originally posted by Legend at 2010-2-8 18:44:
楼主测试病毒样本应该在微点正常能够运行的情况下来测试,中毒之后,病毒可能会阻止您安装安全软件。
请楼主将样本发送到 virus@micropoint.com.cn 邮箱,具体我们分析下。

我没中毒,也没有样本,只是在爱毒霸社区看到这个帖子才发到这里的。
作者: littlefritz     时间: 2010-2-8 20:16
由文章看,完全是误导,显然文章是在讨论中毒之后微点软件无法打开。这是较为常见的现象,因为让主动防御去帮人收尸和美国等别人把导弹砸到美国土地上再开启导弹防御系统是一样没有意义的。事实是,微点主动防御可以非常好地防范这种破坏安全软件的木马下载器的。一般来说,在双击qvod之后5秒内,就已经挂了。
作者: 饭桶小白     时间: 2010-2-8 20:45
人已经中弹了,再给别人穿防弹衣,就说人家的防弹衣质量不行!
作者: simonfour     时间: 2010-2-8 22:35
误导人的标题,,,,,,什么是防不住啊.......中毒了装不上杀软叫防不住????真是笑话
作者: 统一天下     时间: 2010-2-9 04:24
金山的话大家完全可以无视了

看看这个就知道金山铁军是啥人品了。

http://bbs.micropoint.com.cn/sho ... hlight=%CC%FA%BE%FC


http://bbs.micropoint.com.cn/sho ... hlight=%CC%FA%BE%FC


http://www.mpfans.org/viewthread ... hlight=%CC%FA%BE%FC

http://bbs.micropoint.com.cn/sho ... hlight=%CC%FA%BE%FC

http://bbs.micropoint.com.cn/sho ... 5%B2%BB%D5%A6%B5%CE

过金山免杀你连特征码都不用改,直接加壳(金山没有主动防御)

免杀金山最多10秒钟。

[ Last edited by 统一天下 on 2010-2-9 at 04:25 ]
作者: Diablo     时间: 2010-2-9 07:44
楼上的人品也极差,楼上的废话直接无视了。
作者: lsj301     时间: 2010-2-9 11:34
此拐年年卖,年年有人买.
作者: 雄视王者     时间: 2010-2-9 11:38
金山
品德也不怎么的
作者: xxqxxj     时间: 2010-2-9 18:39
亡羊补牢,微点要在干净的系统上装才能发挥作用
作者: littlefritz     时间: 2010-2-9 19:27


  Quote:
Originally posted by xxqxxj at 2010-2-9 18:39:
亡羊补牢,微点要在干净的系统上装才能发挥作用

这也不一定。中了一定毒的机子再用微点,有的也可以被微点杀光。这是等别人的导弹在射击当中再开启防御。等病毒的目的都达到了,该破坏的都破坏了一遍,再要重建,就困难了。不论对于微点还是瑞星360卡巴诺顿,都是这样,金山也不除外。
作者: 无尽伤海     时间: 2010-2-12 18:53
太强了吧·····
作者: 坐照     时间: 2010-2-12 20:36


  Quote:
Originally posted by 饭桶小白 at 2010-2-8 20:45:
人已经中弹了,再给别人穿防弹衣,就说人家的防弹衣质量不行!

:)
作者: msimwa     时间: 2010-2-12 21:23


  Quote:
Originally posted by 饭桶小白 at 2010-2-8 20:45:
人已经中弹了,再给别人穿防弹衣,就说人家的防弹衣质量不行!

比喻非常形象,对不懂的有很大帮助
作者: yiyangaa     时间: 2010-2-18 23:52
楼主,中毒以后再装其它杀软就有点晚了
作者: f8312519     时间: 2010-2-23 23:25
唉.我怎么感觉李铁军完全也学会360那一招了
中了毒再去装微点.当然会有问题了.要不你去中了毒试试你的毒霸还能安装不
微点既然是主防软件当然是在无毒情况下安装.当微点已经记录这些程序的行为才能判断是否为病毒.
这完全是误导人的贴子
作者: 既不i也不t     时间: 2010-2-26 15:43    标题: 我现在微点在正常运行,但...

我现在微点在正常运行,但...一双击exe电子书,微点被关闭了!谁遇见过?谁有需要我给你们样本!你们测一下
作者: Legend     时间: 2010-2-26 16:43


  Quote:
Originally posted by 既不i也不t at 2010-2-26 15:43:
我现在微点在正常运行,但...一双击exe电子书,微点被关闭了!谁遇见过?谁有需要我给你们样本!你们测一下

请将样本发送到 virus@micropoint.com.cn 邮箱,具体我们和您邮件联系



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn