Board logo

标题: “鬼影”无限复活系统重装无效 病毒技术超群无奈惜败微点 [打印本页]
作者: 点饭的百度空间     时间: 2010-3-18 15:50    标题: “鬼影”无限复活系统重装无效 病毒技术超群无奈惜败微点



我系统上的微点主动防御软件实时拦截处理成功:
   
某网站下载的带毒软件。其中的衍生物成人播放器组件ok.exe即为鬼影病毒(又名“飓风穿还原下载者”)

病毒作者在“鬼影”技术资料写到:
穿还原(全中国唯一利用硬件接口直接解析文件系统的穿还原技术)
无限复活(利用国外黑帽子大会内部公布的Bootkit技术实现程序无限复活+超级隐藏)
飓风无限复活技术采用了当前市面上从未有过的另类复活技术MBR感染(主引导区感染),都知道硬盘在分区时都会有开一个引导区用于加载系统,MBR感染后无论你如何与格式化硬盘或者重新安装系统马儿都会随着系统自动加载起来,而被引导加载的马儿存放的位置也不是放在哪一个分区磁盘里,通常情况下硬盘在分区时都会预留一部份空间出来用于存放一些缓存文件,而且这个空间是隐藏的,包括杀毒软件都无法对这个分区进行扫描,我们的原木马将存放在这个位置,一旦马儿被杀,或者系统重装或格式化了所有分区,那么只要重启计算机感染在MBR里的引导代码将会从硬盘的预留空间里调用马儿重新运行,除非这台计算机没有系统或者重新分区否则马儿永远都会无限复活!
Kill杀毒软件 ByPass主动防御
Kill杀毒软件没什么稀奇的,不论使用了什么技术都没什么,最重要的就是可以干掉杀毒软件就行!这里我也就不介绍KILL杀软的技术了,目前可以过的杀毒软件包括“卡巴2010”,“瑞星2010”,“江民2010”,“NOD32”,“金山2010”,“360安全卫士+保险箱+360杀毒”其它的杀软没怎么测试,我们使用的技术比较底层而且比较通用相信大部份杀毒软件都是可以KILL的!映像劫持了杀毒软件的某一个部位只要被KILL了杀毒软件也就再也无法启动了(这里要说明的是我们劫持的技术目前来说还没有人使用过,就算你改进程名什么什么都是无法启动的!并且目前可以Kill 360安全卫士 360杀毒 江民的下载者几乎少之又少,飓风则可kill市面上已知的所有主流杀毒软件,使用系统漏洞加载驱动,均可在任何杀软下无提示加载我们的驱动!)

“鬼影重重” 无能,不作为让用户欲哭无泪?









为了什么李铁军要炮轰微点?
http://hi.baidu.com/micropoint/b ... cf2d21d42af1bd.html

[ Last edited by 点饭的百度空间 on 2010-3-19 at 11:25 ]
作者: simonfour     时间: 2010-3-18 21:21
他就是个悲剧
作者: simonfour     时间: 2010-3-18 21:29
我觉得你该把这个图截完整,,,
处理器错误是微点造成的?????

[ Last edited by simonfour on 2010-3-18 at 21:30 ]
附件 1: QQ截图未命名.jpg (2010-3-18 21:29, 45.13 K,下载次数: 41)


作者: littlefritz     时间: 2010-3-19 00:18
使用微点主动防御软件的用户,无须任何设置微点将自动防御该病毒。有关该病毒的详细信息,请关注微点交流论坛病毒快报版块2010.3.18日的病毒报告(Trojan.Win32.bookit.a)
作者: rockyu     时间: 2010-3-19 01:28
似乎2010.3.13的病毒快报说的就是那个鬼影吧
作者: 饭桶小白     时间: 2010-3-19 07:26


  Quote:
Originally posted by rockyu at 2010-3-19 01:28:
似乎2010.3.13的病毒快报说的就是那个鬼影吧

就是那个鬼影!当初金山的意思是全世界只有金山可以拦截,其他的杀毒软件都不能!
作者: 点饭的百度空间     时间: 2010-3-19 13:43


  Quote:
Originally posted by simonfour at 2010-3-18 21:29:
我觉得你该把这个图截完整,,,
处理器错误是微点造成的?????

[ Last edited by simonfour on 2010-3-18 at 21:30 ]

http://bbs.duba.net/thread-22157362-2-1.html
作者: f8312519     时间: 2010-3-19 20:25
李铁军是越来越看不惯了
作者: coolboy713     时间: 2010-3-19 21:21
微点能预防就OK了
作者: vipjjj@qq.com     时间: 2010-3-19 23:35
没有说只有金山能防啊,我也没看到有往这方面误导的言论。至少我常在卡饭论坛逛,在金山论坛逛也没有听说过这类的新闻,不过有些人左右造谣罢了。比如有人在金山论坛说毒霸怎么垃圾。。。而之前几个小时则事先在卡饭发了个贴,证明毒霸的垃圾。然后再返回金山引用这言论。  反正就那么个事。  
微点还不是被人用一样的方法搞!
鄙视枪手啊!鄙视托!鄙视!
作者: xie52165     时间: 2010-3-23 11:14
唉~只要能防御住就行了



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn