微点交流论坛

标题: 一个危险的LOGONUI攻击实验 [打印本页]

作者: ljbdoit 时间: 2007-12-18 11:53 标题: 一个危险的LOGONUI攻击实验

给超版发了个威金样本，此样本微点是无反应的。正好这几日在修改logonui，突然想到如果logonui被篡改成此病毒，是否可行？于是一试。
在正常的XP下，我将logonui换成此威金，之后XP激活保护机制，点击取消，成功完成替换。自始至终微点无反应。
我当然没这胆接着往下试，赶紧把备份的logonui给换了回来。
还请开发组一试。

作者: Legend 时间: 2007-12-18 12:22
请楼主再详细描述一下操作步骤，您可以直接发送到我们virus@micropoint.com.cn 邮箱，这样以免其他网友误操作，谢谢

作者: ldeyw 时间: 2007-12-18 14:01
有何意义？既然微点都对这个样本没反应了，你把它替换成logonui还是其他什么，不是都一样？不替换也一样。完全不理解楼主这样做的意义在哪里。

作者: ljbdoit 时间: 2007-12-18 14:32
logonui是系统登录程序，我们看到的"欢迎使用"就是在执行logonui.
这个测试只是想看一下，如果木马借助美化工具附体的话，微点如何应对的。
Legend:
那个威金样本已连同另一帖的样本一并发送过去了。

作者: Legend 时间: 2007-12-20 14:51
请问楼主发送的邮箱地址是什么？
请通过论坛短消息发给我，帮您查查

作者: Legend 时间: 2007-12-20 16:24
您的邮件我们已经收到，其中auto.exe ：映像劫持类病毒；ani.ani ： aurorun蠕虫病毒； ntldr.exe ： aurorun蠕虫病毒； MSDOS.SYS ：非病毒文件；rising.ini ：非病毒文件； autorun.inf ：病毒辅助文件； IO.SYS 非病毒包文件

请您将技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到我们support@micropoint.com.cn 邮箱，我们再仔细分析一下，谢谢

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn