微点交流论坛 - 灌水区 - 明天开始我不更新微点了!

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 灌水区 » 明天开始我不更新微点了!

1/2

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#1 明天开始我不更新微点了!

直到微点右键扫描开始
http://bbs.gdut.edu.cn/NGPXBBS/con?B=Virus&F=M.1176173101.A
支持的要顶

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 22:33

228879547
中级用户

积分 451
发帖 447
注册 2007-3-2

#2

比较全面的报道····不错顶起不过还是升级下好··

※ ※ ※ 本文纯属【228879547】个人意见，与【微点交流论坛】立场无关※ ※ ※

CPU：P4 3.0
内存：1G
补丁：即时跟新
系统：雨林木风XP 3.0 ghost版
安软：微点预升级
微点版本：每日跟新
浏览器：遨游2

2007-4-9 22:38

100000
版主

灌水区华南水务使

积分 3285
发帖 3250
注册 2007-2-26
来自深圳

#3

和我想的差不多！

不过已经习惯了每天晚上点“升级”！

※ ※ ※ 本文纯属【100000】个人意见，与【微点交流论坛】立场无关※ ※ ※

日出东方微点先行主动防御快人一步

2007-4-9 22:47

我的路线
注册用户

积分 107
发帖 105
注册 2007-2-10

#4

不知道升还是不升好.

※ ※ ※ 本文纯属【我的路线】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-9 23:04

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

Quote:

Originally posted by 我的路线 at 2007-4-9 23:04:
不知道升还是不升好.

不升级的微点也能杀最新病毒升级后的微点能杀更多病毒
大家的微点自动升级好我就等扫描了

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 23:10

100000
版主

灌水区华南水务使

积分 3285
发帖 3250
注册 2007-2-26
来自深圳

#6

这些天的微点占内存又小了点？！

※ ※ ※ 本文纯属【100000】个人意见，与【微点交流论坛】立场无关※ ※ ※

日出东方微点先行主动防御快人一步

2007-4-10 08:38

囚中城
版主

微点茶室甜点师

积分 3808
发帖 3688
注册 2006-1-3
来自拿灵魂换生命的地方

#7

发信人: 国伟 (一支穿云箭，千军万马来顶帖), 信区: Virus
标  题: [原创]我测试“兔子病毒”全过程实录
发信站: 南国飘香BBS (Mon Apr  9 21:45:01 2007), 本站(bbs.gdut.edu.cn)
1 附图: 镜像中3月9日状态的微点.jpg (34 KB)

先看看主角之一微点的版本。因为是在虚拟机中保留的镜像，也为了测试下微点的实力，所以版本仍然是3月9日的。
没显示的那个按钮单击后看到“确定”。
2 附图: 弹出的框.jpg (5719 Bytes)

运行后，弹出一个“工程1”的框，然后微点报警
3 附图: 弹出框后，微点报警.jpg (35 KB)

4 附图: 另一个报警框.jpg (31 KB)

5 附件: 微点记录的日志_我整合到一起了_.txt (2713 Bytes)
**********************************************************
注册表变更日志：
创建时间键名称原数据新数据创建者
2007-04-09 18:49:12 HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{4BF41072-B2B1-21C1-B5C1-0305F4155515}\ STUBPATH C:\WINDOWS\SYSTEM32\JK.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
**********************************************
程序生成日志：
创建时间文件名创建者
2007-04-09 18:49:13 C:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:49:12 D:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:49:11 C:\WINDOWS\SYSTEM32\MSEXCH400.DLL C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:49:09 C:\WINDOWS\SYSTEM32\RABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:49:09 C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:49:09 C:\WINDOWS\SYSTEM32\JK.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
***********************************************
木马日志：
时间处理结果木马名称木马进程名木马文件创建者
2007-04-09 18:50:40 处理成功未知木马 C:\RABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\WINDOWS\SYSTEM32\RABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 D:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\WINDOWS\SYSTEM32\MSEXCH400.DLL C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\WINDOWS\SYSTEM32\JK.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:40 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE C:\PROGRAM FILES\WINRAR\WINRAR.EXE
2007-04-09 18:50:16 处理成功未知木马 D:\RABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\WINDOWS\SYSTEM32\RABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 D:\RABBIT.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\WINDOWS\SYSTEM32\MSEXCH400.DLL C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\WINDOWS\SYSTEM32\JK.EXE C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE
2007-04-09 18:50:16 处理成功未知木马 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\RABBIT.EXE C:\PROGRAM FILES\WINRAR\WINRAR.EXE
**********************************************************
我特意退出了微点，再运行病毒，在任务管理器中发现一个loveRabbit.exe进程（无法结束，会自动重新生成）。发现不断有进程cmd.exe、attrib.exe和另一个loveRabbit.exe生成（因为变化得太快，所以分别截了2个图）。很明显，病毒正在疯狂感染EXE文件。等待了10分钟，给足时间你感染了吧？
6 附图: 任务管理器1.jpg (24 KB)

7 附图: 任务管理器2.jpg (26 KB)

8 附图: 多了“自动播放”_autorun.inf的见证_.jpg (9 KB)

看到根目录的autorun.inf和复制的病毒程序
9 附图: 看到autorun.inf和病毒程序.jpg (25 KB)

10 附图: 双击分区图标来激发病毒，弹出来的框.jpg (6662 Bytes)

是QQ和TM的安装文件
11 附图: 故意放进去的2个EXE文件都被感染了.jpg (26 KB)

EXE文件全被替换成大小是259K的病毒文件
12 附图: EXE文件全被替换.jpg (12 KB)

双击分区激发病毒进入后，不断提示“无法写入”内存。而此时微点早已是故意先退出的了，但进程还在。不过没能阻止EXE文件被感染。
呵呵，起初也很郁闷，终于想通了。因为我是在虚拟机里面测试的，所以病毒无法写入内存。（用虚拟机试毒，感觉真爽啊！！！）
重启后
13 附图: 微点报警.jpg (24 KB)

14 附图: 提示系统文件被替换.jpg (21 KB)

不断提示“无法写入”内存，无法通过菜单重新启动。所以强制重启。呵呵，微点没事，可以正常运行。病毒文件仍然存在，现在双击分区盘符进入，首先弹出的是“无法写入内存”的提示框。然后微点报警，并且系统提示“系统文件被替换”。再次双击D盘盘符进入，报警提示不同了。再次双击，仍然报警，只好用右键“打开”的方式进入。
15 附图: 再次双击D盘进入，报警提示不同了.jpg (26 KB)

LOVERABBIT.EXE这个文件会不断的复制进C:\WINDOWS\SYSTEM32中，所以每次运行病毒文件都会提示这个路径。
试试“不删除”，首先弹出的仍然是“无法写入内存”的提示框。然后微点报警，并且系统提示“系统文件被替换”。报警信息与前面的相同。选择“不删除”并“添加为可信程序”，看看有什么后果。运行病毒程序，微点没有提示了……呜呜。
选择“不删除”并“添加为可信程序”，看看有什么后果
16 附图: 选择“不删除”并“添加为可信程序”，.jpg (24 KB)

这是病毒复制到每个分区根目录下的病毒
17 附图: 这是病毒复制到每个分区根目录下的病毒.jpg (7235 Bytes)

在任务管理器中看到，病毒开始了最开始时的感染，一个loveRabbit.exe进程（无法结束，会自动重新生成）。发现不断有进程cmd.exe、attrib.exe和另一个loveRabbit.exe生成。
重启后微点监视到的详细的记录（因为设了为信任程序，所以没有制止，呵呵）
18 附图: 不断的感染.jpg (119 KB)

所以，用微点的可以放心，但要注意的是，千万不要轻易退出微点的保护，否则～～～
呵呵，还有很多东东要测试的，下面是试试能不能对自动运行类病毒进行免疫。用的是“超级巡警之U盘病毒免疫器V1.1.1”。免疫后在分区根目录增加“autorun.inf”文件夹，下面有“autorun..\”子文件夹。这种方法在之前的帖子中已有介绍，就此不表。
19 附图: 免疫后.jpg (8028 Bytes)

先退出了微点的保护，运行病毒。提示“无法写入内存”和“系统文件被替换”的警告（原因之前已经讲过）。呵呵，“无法写入内存”的提示比之前更加频繁，因为病毒程序好像无法成功感染，如图。
20 附图: 无法感染.jpg (14 KB)

21 附图: 右键菜单没有“自动播放”.jpg (15 KB)

认得出是WinRAR吧。
22 附图: 程序被感染.jpg (31 KB)

只有一个loveRabbit.exe进程。但是，程序原来还是被感染。病毒程序也被复制到根目录，但无法创建“autorun.inf”文件，因为被免疫了，哈哈。
但是，EXE文件被感染，究其原因，毕竟是我自己运行的病毒程序，所以依然感染并替换了可执行文件。但是，如果这是别人U盘中带有的病毒，插入到你的电脑中，如果各个分区都免疫了，而且你没有运行不明程序的情况下，中毒的机会会大大下降。（不排除有见这个小兔图标如此可爱而不由自主的双击它的情况  -_-#）。所以免疫是非常重要的。本帖再次提供免疫程序“超级巡警之U盘病毒免疫器V1.1.1”下载。
下面试试用最新版的卡巴斯基便携版（由于本人从来不用卡巴斯基，出于测试需要，就下载了个便携版耍耍）。当然先退出了微点啦。不过便携版没提供实时保护，就考验下它的扫描功能吧。
23 附图: 已更新到最新病毒库（第二次更新）.jpg (39 KB)

听说卡巴斯基也说是主动防御，应该没问题吧？
呼呼，不清楚为什么扫描不了，以前也试过，之前是正常的。可惜呀，只好下次找其他群友测试的图来补数了～～呜呜
嗯，干脆开着卡巴，运行病毒。虽说保护服务没有安装（便携版嘛），但进程应该无咁容易被搞掂吧？
24 附图: 开着卡巴试试.jpg (4283 Bytes)

嗯，病毒依然欢快地感染着EXE，也没空去杀卡巴的进程。看来这个病毒对杀毒软件的进程不是很感兴趣哦，还是对杀毒软件的BS呢？
嗯，病毒依然欢快地感染着EXE，也没空去杀卡巴的进程
25 附图: 嗯，病毒依然欢快地感染着EXE.jpg (19 KB)

多给点时间，看看卡巴的程序文件会不会被感染。
呼呼，发现分区右键没有“自动播放”，当然这不是卡巴的功劳，哈哈哈哈。帮帮你吧，安装！呵呵。竟然安装失败，还是那个“写入内存失败”的原因～
26 附图: 帮帮病毒的忙.jpg (6317 Bytes)

注册不了这个autorun.inf 哦
27 附图: 安装失败.jpg (10 KB)

哟，其间出现一件意料不到的事，已退出的微点升级……之前已提过退出微点，微点的进程不会自动退出，可以手动结束。但没想到还会升级呀，当然是不让它升级啦。
忘了微点之前有一次升级是要重启的，没想到刚才“否”了后，还是顽强的继续升级，呼呼……
28 附图: 哎呀，忘了.jpg (23 KB)

据说完整安装的卡巴也会被替换成病毒文件的说，偶没看到……不是完整安装版，否则可能更好玩些 #_#
嗯嗯，本次测试到此结束，历时一个半小时……
PS：
第一次发帖的时候图片出现错误，于是重新排版发帖，于测试完毕一小时后，最终发帖～～～呼呼，真耗时间呀～～～
29 附图: 试试“不删除”.jpg (26 KB)

--
目前，杀毒市场的商业模式是这样的:病毒好像一个火车头，后面拉着信息安全厂商，它们行驶在同一条铁轨上，厂商永远无法“超车”病毒。这种思路下，它们只有无可选择地充当滞后者。不停的升级，只能带给你一丝安慰……卡吧，死机！

谁用谁知道！微点主动防御软件！信息安全领域的革命性飞跃！

※ ※ ※ 本文纯属【囚中城】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-10 18:12

囚中城
版主

微点茶室甜点师

积分 3808
发帖 3688
注册 2006-1-3
来自拿灵魂换生命的地方

#8

呃，图片都防盗链

※ ※ ※ 本文纯属【囚中城】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-10 18:16

100000
版主

灌水区华南水务使

积分 3285
发帖 3250
注册 2007-2-26
来自深圳

#9

扫描一出，微点也快上市了吧！

大家给微点的压力大了，微点都不敢轻易拿出来了！

[ Last edited by 100000 on 2007-4-12 at 10:42 ]

※ ※ ※ 本文纯属【100000】个人意见，与【微点交流论坛】立场无关※ ※ ※

日出东方微点先行主动防御快人一步

2007-4-12 10:41

微点放大是焦点
高级用户

积分 783
发帖 765
注册 2007-2-10
来自广州

#10

唉~忙碌了几天魔兽世界.都忘记了逛论坛了,特意来顶个.昨晚上卡饭好像说受到攻击?啥回事?又是光标漏洞吗?

※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【微点交流论坛】立场无关※ ※ ※

天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。

2007-4-12 11:45

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号