微点交流论坛

标题: 被整惨了，至今还没恢复。（已解决） [打印本页]

作者: flyegret2008 时间: 2007-8-28 14:42 标题: 被整惨了，至今还没恢复。（已解决）

用微点也有半年多了，忽然想试一试她的威力，于是就上深度的坛子“病毒样本区”去找点东东看能不能过了微点。下载、解压、报警、删除，病毒、木马、后门、恶意程序，一个接一个地被微点

干掉，我先是乐呵呵地看，后来就觉得有点没意思了。
忽然我看到一个“（原创作品）超级病毒第二代,简单实用的病毒！超级病毒,简单实用的病毒!只有1KB大小!!!!!!!!! 往往一些人们瞧不起的简单方法，却能发挥巨大作用！！！一个优秀的病毒，要么复杂得识别不出，要么简单得让人毫无戒备！！”
虽说是个加了7点威望的帖子，但我对题目中的超级二字有点不屑：太狂了点。于是下载试用，出现了一个快速翻页的DOS窗口，我随手关掉了，也没见有啥异样。半晌后习惯性地重启时才发现：不能启动了，说是http://mpicture.micropoint.com.c ... 7ac2a96ntoskrnl.exe没了!大吃一惊，当时真不知道是哪一个病毒干的，回头找了一个文件拷到c:\windows\system32里，总算可以启动了，别高兴，只能到输密码的画面，再去就自动注销了，又叫输密码，安全模式下也是一样。而且它还在每个分区下面建了好几十个进不去、删不掉的名叫96413.....的文件夹

，后来才知道是建的h:\96413.....，利用了windows的一个bug，在PE下也删不掉

，只能在DOS下用
工具软件删。
我这才领教了它的厉害，只好重装了，要命的是其它的毒我都是在虚拟机里试的，只有它是在本机上试的，唉，被整惨了，至今还没恢复，虽说在DOS下可以删除那些可恶的文件夹，可是太费手劲了，谁能告诉我一个好办法呢？
让人值得思考的是这个“病毒”其实只是个批处理文件，倘若它装成.exe或别的，微点肯定给杀了，正因为它只是个.bat就让人给忽视了。也就是说微点不能区分这个高危行为是用户在做试验呢还是真的是恶意程序，假如甚至有能模拟鼠标点击而停止微点的那就更可怕了，强烈建议微点增加阻止“删除、替换、终止系统文件”的功能模块。当然XP完整版的文件保护机制会自动恢复，但那些进行了windows瘦身了的如我等deepinxp就恢复不了了。

/*已屏蔽*/

[ Last edited by Legend on 2007-8-31 at 15:41 ]

作者: baijian_8d 时间: 2007-8-28 14:48
这确实是个问题。

也希望微点能从本质上去解决这个问题，而不是不断的增加特征码，呵呵。

希望越做越好。

作者: wantcm 时间: 2007-8-28 14:53
谢谢LZ反应的问题,建议您不要在论坛上发病毒下载联接.

作者: Legend 时间: 2007-8-28 14:54
链接已屏蔽，请楼主将样本以及微点安装目录下的mp6目录复制到桌面后压缩发送到发送至virus@micropoint.com.cn,我们有专业技术人员进行分析测试，并将结果回复至您的邮箱，提醒：由于病毒的危害性请用户不要自己测试病毒。

作者: flyegret2008 时间: 2007-8-28 15:02
样本已发送，系统重装，mp6没法给

作者: qq2008444 时间: 2007-8-28 15:16
其实是用DOS命令建立一个非法的文件夹吧...
我以前经常用这招保存一些重要数据...

作者: flyegret2008 时间: 2007-8-28 15:30
请6楼的兄弟介绍川杂删除呢?

作者: Rokit 时间: 2007-8-28 15:35
这就是那个传说中的病毒内容

/*已屏蔽恶意代码，扣除12分警告* /

[ Last edited by Legend on 2007-8-28 at 16:02 ]

作者: hanker 时间: 2007-8-28 15:36
楼主这是恶意软件，貌似不像木马或者病毒

作者: hanker 时间: 2007-8-28 15:38
哦，还有，楼主的硬盘格式估计是 FAT32 格式吧？呵呵

作者: Rokit 时间: 2007-8-28 15:39
刚在虚拟机里运行了,微点对自身的保护和对系统时间的保护还不错,但是对系统文件的保护力度不够, del c:\ntldr 重启过程中系统找不到ntldr 文件导致启动失败

作者: qq2008444 时间: 2007-8-28 15:40

Quote:

Originally posted by flyegret2008 at 2007-8-28 15:30:
请6楼的兄弟介绍川杂删除呢?

在CMD SHELL下改名后删除...
当然我没见过这个病毒样本
不知道管不管用的说...

作者: Rokit 时间: 2007-8-28 15:43
病毒样本就是DOS批处理文件,其内容我已放到8楼了,楼上感兴趣可以试试

作者: qq2008444 时间: 2007-8-28 15:43
/*已屏蔽*/

这就是那个传说中的病毒内容
:P先佩服这个小子了
真是连这么狠的手段都拿出来了
先DEL NTLDR再DEL*.SYS....最后DEL *.exe...
不过明显针对微点吧...
另外taskkill命令对XP HOME好象无效...

[ Last edited by Legend on 2007-8-28 at 15:59 ]

作者: 含笑半步颠 时间: 2007-8-28 15:44
楼主说的这种程序仅仅是恶作剧而已，不能算作病毒，病毒要具有传播性的，如果我随便写个类似这样的程序，那满天下都是病毒了。其实这对主动防御的误解

[ Last edited by 含笑半步颠 on 2007-8-28 at 15:47 ]

作者: qq2008444 时间: 2007-8-28 15:44
这小子真是想整死人啊...

作者: qq2008444 时间: 2007-8-28 15:45

Quote:

Originally posted by 含笑半步颠 at 2007-8-28 15:44:
楼主说的这种程序仅仅是恶作剧而已，不能算作病毒，病毒要具有传播性的，如果我随便写个类似这样的程序，那满天下都是病毒了。

:P算是恶意批处理
可以编译成EXE...

作者: flyegret2008 时间: 2007-8-28 15:45 标题: 可有解救的法子么？

楼上的诸位可有解救的法子么？我可被分区下面的百多个文件夹苦坏了，盼救!!

作者: qq2008444 时间: 2007-8-28 15:46

Quote:

另外看看8楼的是想整死人
不是恶作剧啊

作者: Rokit 时间: 2007-8-28 15:46
是够狠,也有点流氓,啥都删,如果是那些精简版的系统无法自动修复就挂了

作者: hanker 时间: 2007-8-28 15:49
哈哈，原来有代码啊，迫不及待了，我赶紧去试试，一会告诉大家结果啊

看看跟我想的有什么不同，嘿嘿

作者: 含笑半步颠 时间: 2007-8-28 15:50
大家看看，病毒、木马都是具有传播性的，只有传播才能产生对其他计算机的危害。

作者: newduba 时间: 2007-8-28 15:53
RenamePlus 发行说明
http://www.KZTechs.com

RenamePlus 是一个增强性的重命名工具，能够对常规重命名操作不能修改的文件名进行重命名操作，例如对文件名末尾是“.”或者文件名是 Windows 保留的文件名的文件进行重命名操作。

例如：如果磁盘上有一个文件名是 “C:\Sample.TXT.”，但是常规的重命名操作会失败并报告找不到目标文件。这是因为文件名后面含有非法的字符“.”，导致 Win32 API 在重命名的时候失败了。RenamePlus 是一个增强性的重命名工具，能够解决此类问题。

使用方法：
RenamePlus C:\Sample.TXT. C:\Sample.TXT

Smallfrogs
http://www.KZTechs.com

作者: qq2008444 时间: 2007-8-28 15:53
如果在批处理里加上这一句后再进行破坏呢?
/*恶意代码已屏蔽，扣除12分警告/*/弱口令感染局域网内所有计算机
这个就有传播性质了吧??
再通过网马的方式传播???

[ Last edited by Legend on 2007-8-28 at 16:03 ]

作者: qq2008444 时间: 2007-8-28 15:56
这种恶意批处理我也写过的说...

作者: qq2008444 时间: 2007-8-28 15:57
哇呀...这么快就被屏蔽了..

作者: qq2008444 时间: 2007-8-28 16:06
呵..早知道不发
算了
换号玩去...

作者: flyegret2008 时间: 2007-8-28 16:12
谢谢23楼提供

作者: hanker 时间: 2007-8-28 16:14
C:\新建文件夹>*
找不到 c:\ntldr

C:\新建文件夹>*
找不到 c:\*sys
'reg' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\新建文件夹>*
'taskkill' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\新建文件夹>*
'taskkill' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\新建文件夹>*
'taskkill' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\新建文件夹>*
'taskkill' 不是内部或外部命令，也不是可运行的程序
或批处理文件。

C:\新建文件夹>*
C:\windows\explorer.exe
拒绝访问。

C:\新建文件夹>*
C:\windows\system32\alg.exe
拒绝访问。
C:\windows\system32\cmd.exe
拒绝访问。
C:\windows\system32\conime.exe
拒绝访问。
C:\windows\system32\csrss.exe
拒绝访问。
C:\windows\system32\ctfmon.exe
拒绝访问。
^C终止批处理操作吗(Y/N)? n

C:\新建文件夹>*
找不到 C:\windows\system32\*.cpl

C:\新建文件夹>*

C:\新建文件夹>*

C:\新建文件夹>*

C:\新建文件夹>*

C:\新建文件夹>*
拒绝访问。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

^CC:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*

C:\新建文件夹>*

C:\新建文件夹>*
拒绝访问。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。

C:\新建文件夹>*
系统找不到指定的驱动器。
^C终止批处理操作吗(Y/N)?

结果证实我的想法,呵呵

我的操作系统是 XP PRO 硬盘格式 NTFS ,

可能只是针对 FAT32 有效

想起了这个让我想起了 98 ,好象任何一个人都能把 98 的操作系统干掉

恶意代码已被屏蔽，请勿在本论坛帖恶意代码相关内容

[ Last edited by Legend on 2007-8-28 at 16:43 ]

作者: hanker 时间: 2007-8-28 16:17
老是忙着看了,

好象有段是针对微点的呢.............

谁放的代码?

作者: hanker 时间: 2007-8-28 16:22
还有就是针对此类东西，微点是不会报警的。

因为是我们人运行了才会中招后悔莫及的......

作者: flyegret2008 时间: 2007-8-28 16:26 标题: 已经删除了

我用一个叫pc.exe的软件(不是pctools)，可以在dos下使用也可以在windows下使用，把那些叫h:\94613.......的怪文件夹给删了，只是因为连续按了差不多三百下D键和Y键，手指头连着手掌的筋还有点疼。不过这次也让我记住了：绝对只能在虚拟机上试高危动作!呵呵呵!

作者: hanker 时间: 2007-8-28 16:28
哎，楼主辛苦了，您这种测试的精神值得我们学习。像您致敬！

我看那些东西你还是别删了，直接把重要的弄出来，格盘吧....

作者: flyegret2008 时间: 2007-8-28 16:30
但那些高危行为如del *.exe还是应阻止并报警的，或者让用户选择或者只能暂停微点才能进行，当然如md h:\91643......的是没法的。机器不是万能的，人也不是万能的。

作者: 可爱的卧底 时间: 2007-8-28 16:32
这种东西不好说，微点会防护这类需要手动点才能运行的恶意代码吗？

作者: flyegret2008 时间: 2007-8-28 16:33
格盘还是不必了，有好多电影和资料，三个盘不怕有二十多个G吧，要拷，那猴年马月了

作者: hanker 时间: 2007-8-28 16:35

Quote:

Originally posted by flyegret2008 at 2007-8-28 16:30:
但那些高危行为如del *.exe还是应阻止并报警的，或者让用户选择或者只能暂停微点才能进行，当然如md h:\91643......的是没法的。机器不是万能的，人也不是万能的。

很不好说的，我们正常情况下不也是DEL删一些东西嘛... 如果那样微点都报，那不是很没有道理嘛。呵呵

不知道正常情况下在 WIN界面下格盘系统是怎么格的... （硬盘--右键--格式化）

按照你的说法把它也比作成恶意程序了，呵呵。那是不可取的

作者: wantcm 时间: 2007-8-29 07:32
奉劝非专业人士千万不要亲自测试病毒,这种事还是让专家做吧!

作者: hard 时间: 2007-8-29 16:13
我觉得这是难免的啊，不过你也是啊，怎么好好的虚拟机不用，怎么用起本机来了，这下亏了吧，^_^，下次可别了哦

兄弟问个问题，你的病毒样本在哪下的啊？

作者: Legend 时间: 2007-8-31 15:42
请楼主将微点升级，问题已解决。
此帖锁贴，如有问题请另行开贴

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn