Board logo

标题: 感染exe文件的病毒 发现2个问题 [打印本页]
作者: 反黑先锋     时间: 2007-3-2 20:59    标题: 感染exe文件的病毒 发现2个问题

貌似威金 在线扫描 扫毒软体全无反应
C:\WINDOWS\system32\drivers下生成lsass.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动下面生成~.pif 用这个方法自启动以躲过卡巴的主动防御。


;)1楼最后张截图和3楼的截图超版看下  微点的本地特征库似乎把我的正常程序也提取了 是bug?

还有一重要情况 我已把原程序一并发至邮箱 版主测试下:

先双击北京浮生记.exe, 然后点取消安装  再运行样本 微点会pass\

会报“发现未知木马 是否删除北京浮生记.exe。。(截图在3楼)"

[ Last edited by 反黑先锋 on 2007-3-2 at 22:02 ]
附件 1: sshot-1.png (2007-3-2 20:59, 12.08 K,下载次数: 45)


附件 2: sshot-2.png (2007-3-2 20:59, 48.03 K,下载次数: 63)


附件 3: sshot-3.png (2007-3-2 21:00, 25.76 K,下载次数: 58)


附件 4: sshot-4.png (2007-3-2 21:00, 25.62 K,下载次数: 61)


附件 5: sshot-5.png (2007-3-2 21:01, 33.2 K,下载次数: 41)


附件 6: sshot-6.png (2007-3-2 21:01, 20.7 K,下载次数: 64)


附件 7: sshot-7.png (2007-3-2 21:01, 20.3 K,下载次数: 59)


附件 8: sshot-8.png (2007-3-2 21:01, 44.22 K,下载次数: 25)


附件 9: sshot-9.png (2007-3-2 21:01, 23.41 K,下载次数: 33)


附件 10: sshot-10.png (2007-3-2 21:01, 45.89 K,下载次数: 48)


附件 11: sshot-11.png (2007-3-2 21:02, 19.51 K,下载次数: 25)


附件 12: sshot-13.png (2007-3-2 21:02, 25.67 K,下载次数: 66)


作者: Legend     时间: 2007-3-2 21:29
谢谢您提供的信息,方便的话请您将这几个程序发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体测试一下
作者: 反黑先锋     时间: 2007-3-2 21:48    标题: 截图来了



  Quote:
Originally posted by Legend at 2007-3-2 21:29:
谢谢您提供的信息,方便的话请您将这几个程序发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体测试一下

已发送 刚才测了第三次:

;)先双击北京浮生记.exe, 然后点取消安装  再运行样本

微点报 试图修改新浪点点通 然后发现未知木马-是否删除北京浮生记.exe。

[ Last edited by 反黑先锋 on 2007-3-2 at 22:13 ]
附件 1: sshot-49.png (2007-3-2 21:48, 22.14 K,下载次数: 71)


附件 2: sshot-50.png (2007-3-2 21:49, 19.78 K,下载次数: 31)


附件 3: sshot-51.png (2007-3-2 21:49, 7.84 K,下载次数: 68)


附件 4: sshot-53.png (2007-3-2 21:49, 26.05 K,下载次数: 55)


作者: 张哲上     时间: 2007-3-3 09:00
关于这个LSASS.EXE的文件我很早就发过了,但不知道为什么到现在还报未知的
作者: Paxson     时间: 2007-3-3 11:24
呵呵 可能春节积压的病毒太多了
作者: BBdog     时间: 2007-3-10 19:42


  Quote:
Originally posted by 张哲上 at 2007-3-3 09:00:
关于这个LSASS.EXE的文件我很早就发过了,但不知道为什么到现在还报未知的

有一次我遇到微点要删除svchost.exe,难为我了,但我怎敢删除呢!!!
希望微点能先解决lsass,以后如果遇到再把样本发给版主,版主用问我发样本了,我找不到了
作者: Legend     时间: 2007-3-10 20:00


  Quote:
Originally posted by BBdog at 2007-3-10 19:42:



有一次我遇到微点要删除svchost.exe,难为我了,但我怎敢删除呢!!!
希望微点能先解决lsass,以后如果遇到再把样本发给版主,版主用问我发样本了,我找不到了

微点不会删除掉系统正常的svchost.exe,有很多病毒会假冒系统的文件名试图欺骗用户的判断。您的情况请查看微点木马日志,检查svchost.exe的具体路径。

正常svchost.exe的路径一般为:C:\\windows\\system32\\svchost.exe
作者: 反黑先锋     时间: 2007-3-18 22:05


  Quote:
Originally posted by Legend at 2007-3-2 21:29:
谢谢您提供的信息,方便的话请您将这几个程序发送到virus@micropoint.com.cn中,并说明一下您的情况,我们具体测试一下

:lol:先运行病毒 病毒感染A正常程序 微点可以搞定

但我换个顺序:
先运行这个A正常程序 再运行病毒 ,病毒感染A 有害行为发生 微点未拦截阻止!A被删的样本已发 不过目前微点行为库对此样本还未更新 期待更新。

当时环境下微点MP6目录下载链接:
http://www.live-share.com/files/181301/MP6.rar.html

您好!

  十分感谢您上传样本文件给我们,我们会做详细的分析,希望您继续关心和支持微点软件,谢谢!
======== 2007-03-02 21:12:01 您在来信中写道: ========
http://bbs.micropoint.com.cn/showthread.asp?tid=7671&fpage=1
= = = = = = = = = = = = = = = = = = = = = =
        致
礼!
              virus
              virus@micropoint.com.cn
               2007-03-04






















[ Last edited by 反黑先锋 on 2007-3-18 at 22:13 ]
作者: 微点放大是焦点     时间: 2007-3-18 22:26
这个东西好面熟,不知道在哪里见过它。
作者: 反黑先锋     时间: 2007-3-18 22:48


  Quote:
Originally posted by 微点放大是焦点 at 2007-3-18 22:26:
这个东西好面熟,不知道在哪里见过它。

http://bbs.kafan.cn/viewthread.php?tid=61091&extra=page%3D4
作者: 微点放大是焦点     时间: 2007-3-19 01:45
哦~~IS YOU!I SEE



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn