微点交流论坛

标题: 一个微点不能有效防御的木马。 [打印本页]

作者: 主动芳遇 时间: 2007-8-16 12:01 标题: 一个微点不能有效防御的木马。

上uc的时候，有个人突然传给我一个叫做IP查询器的软件，让我用，觉得装了微点安全了，我就直接执行了，发觉不对，于是下线分析，微点没有报警，但是一个别的监控软件报警了
发觉这个软件，修改ie内存，通过ie生成了两个文件，文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\wimrar.exe
创建文件操作:允许
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\_wimrar.exe

这是怎么回事呢？我记得过去微点的日志，生成什么文件都可以查看到的，连回收站文件都可以看到怎么生成的，现在的版本怎么看不到了那么？

说明，我平时用卡巴，打开觉得不安全文件的时候，关闭卡巴，打开微点

这时候木马报错，但卡巴不报警，甚至还给关闭了
微点，这时候不报警，甚至有时候不能启动
因为对方肯定不怀好意，所以我弄了几个软件跟踪，觉得确实是木马

[ Last edited by 主动芳遇 on 2007-8-16 at 12:20 ]

作者: Legend 时间: 2007-8-16 12:12
请楼主将IP查询器的软件发到virus@micropoint.com.cn，我们具体测试分析，请楼主在邮件中附带本链接，便于跟踪解决，谢谢楼主反馈。

作者: Legend 时间: 2007-8-20 11:38
楼主的邮件我们仍未收到，请楼主确认您的邮件是否已经发出，我们将根据楼主提供的信息具体测试分析，感谢楼主的反馈。

作者: 主动芳遇 时间: 2007-8-20 12:37
我的邮件都受到了你的回执，你没有受到？？？？

作者: Legend 时间: 2007-8-20 12:47
请把您发送时的邮箱地址用论坛短消息发给我，我们再具体核实下。

作者: 主动芳遇 时间: 2007-8-20 14:21
这是邮件收条，收件人:
virus@micropoint.com.cn <virus@micropoint.com.cn>
原邮件主题: 发现的木马

此收条表明收件人的电脑上曾显示过此邮件，显示时间: 2007-08-17 15:18:19

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn