微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)  

 28  1/3  1  2  3  > 
作者:
标题: 微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#1  微点应该监控驱动程序的行为(微点不能查杀 my123 病毒)

11月10日发作的一个 my123 病毒,就是将病毒体以驱动程序的形式隐藏在系统中,我好几个朋友都中了这个。

目前 360safe 已经出了专杀工具:
http://bbs.360safe.com/viewthrea ... page%3d1&page=1

不过,这个专杀工具有些弱智,只对部分用户有效,对 my123 的变种无法查杀。

希望微点赶紧升级,查杀 my123,难得的宣传机会啊,因为目前所有杀毒软件都无法杀掉这个驱动级的病毒。

病毒样本没办法发了,给朋友修电脑,没带什么工具(平时只带 360safe + 微点 + McAfee),而普通拷贝又无法进行拷贝。

[ Last edited by wuming on 2006-11-14 at 13:17 ]

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-13 13:34
查看资料  发送邮件  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#2  

目前主页设置为 www.my123.com 的病毒,360safe 已经可以清理掉了。
不过,设置为 www.7939.com 的病毒,估计是个变种,看样子两者表现一模一样,在系统中的位置、文件命名规则、驱动名字都一样,至少这个 360safe 目前没办法清除。
别的变种不知道了,我就见了这两个,很是难处理。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-13 13:39
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

谢谢楼主提供的信息;
请问您的朋友是怎么中的?是否登录网站时或下载安装了某些网络软件?
如果安装微点的话请把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-11-13 14:01
查看资料  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#4  

他没有装微点。

这个病毒很绝的,很多人都是很早就感染了,直到 2006-11-10 才统一爆发。所以,至于怎么感染了,早就忘光了。我看到的病毒文件的创建日期,是 2006-8-5。

表现形式,就是主页被设置为 www.my123.com 或者 www.7939.com (不知道还有没有别的)。网上搜索这个问题,一大片中招的。解决办法,也无非是进入另一个系统下删掉,或者进入 dos 下加载 ntfsdos 删掉这个病毒文件。但是这些都不是普通用户能做到的。

你可以搜索一下这个 my123 病毒的资料,这的确是以驱动形式加载的,在注册表、系统服务、系统进程中都无法发现任何蛛丝马迹,希望微点能重视一下,如果能杀掉,就是很难得的宣传了。

希望微点不要错过大好机会。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-13 14:26
查看资料  发送邮件  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#5  

还有一点,在 360safe 网站,看看这个帖子的关注度吧:

(置顶的第一帖)
http://bbs.360safe.com/forumdisplay.php?fid=18&page=1
my123.com恶意病毒专杀工具凌晨发布! 12日3时更新变种查杀!   1 2 3 4 5 6 .. 43  MJ0011
2006-11-12 842 / 61762

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-13 14:28
查看资料  发送邮件  发短消息   编辑帖子
sxh_sxh
版主

灌水区版主


积分 818
发帖 810
注册 2005-12-10
#6  

360 采用文件名作为其特征

※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

  
偶真想*
2006-11-13 14:39
查看资料  发短消息   编辑帖子
wuming
注册用户





积分 133
发帖 133
注册 2006-10-17
#7  



  Quote:
Originally posted by sxh_sxh at 2006-11-13 14:39:
360 采用文件名作为其特征

绝对不是,病毒的名字是随机的。
虽然说,是 6 个字母 + 2 个数字,但是,符合这个条件的正常文件也许多呢。所以靠文件名判断行不通。

不管人家靠什么判断,反正微点目前无法查杀这个病毒。

※ ※ ※ 本文纯属【wuming】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 11:41
查看资料  发送邮件  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#8  

如果已经在微点的注册表修复与保护里面设置主页的锁定与保护的话,这个病毒也就没有什么意义了;
对于这类修改hosts文件及修改默认主页的行为应该是那些优化软件的处理;
微点提供了全方面的监控,既然微点已经是驱动级的杀软,相信也一定能够监控到驱动级的启动程序,只是单一的修改ie主页这一行为并不能够做为完全判定为病毒的条件;
如果开着微点的话完全可以利用微点的监控日志找到这个病毒的来源,再手工清理掉,对于驱动的文件不让删除可以参考利用批处理文件在dos下执行清理

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 11:52
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#9  

微点具有驱动程序监控

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-11-14 12:20
查看资料  发短消息   编辑帖子
aidi
中级用户

新手上路


积分 256
发帖 221
注册 2006-3-6
#10  

简要分析及处理方法:
      微点有注册表监控信息记录日志,在里面可以看到修改注册表键值的时间、原数据、新数据及创建者;
      已经知道这个程序是去修改ie主页为 www.my123.com,可以按照新数据找到这个名称对应的创建者,也就是真正去修改主页的程序文件,如楼主所说的 6 个字母 + 2 个数字后缀为.dll;
      通过楼主提示的网址得知这个程序是被驱动保护的,驱动文件的名称是与这个程序文件相同且后缀为.sys;
      知道了原理再查找就很方便了,可以在C:\WINDOWS\system32\drivers\目录下搜索根据上面得知的文件名称;也可以利用微点的系统自启动信息,查看驱动启动的启动项。注意在这里查看的话发现这类程序的文件说明都是为其他软件,也就是说在不知道病毒原理的情况下,这些文件都是重点怀疑的对象,可以清晰地看到;
      找到病毒的原形后就是清除这些文件了,由于是驱动文件正常模式下可能不能删除,保险的方式需要到dos下清理删除找到的6 个字母 + 2 个数字的.dll与.sys文件,在注册表中搜索my123修改相应的注册表键值,大功告成。
      有些朋友不太熟悉dos可以在正常模式下建立一个批处理程序然后用98或dos启动盘进入dos双击执行就可以了;注册表的清理暂不提供,手工修改主页既可。
-------------------------------------------------------------------------------------------------------
@echo off
color 0A
prompt $g
echo.
echo.
echo.                        ※※※※※※※※※※※※※※※
echo.                        ※                            ※
echo.                        ※   龙虾门诊病毒专杀程序   ※
echo.                        ※        support by          ※
echo.                        ※        药童 小龙虾         ※
echo.                        ※                            ※
echo.                        ※※※※※※※※※※※※※※※
echo.
title 病毒专杀程序--by shazi 龙虾门诊病群解决您生活中遇到的电脑问题,群号:21929053
echo.
echo.                ∥∥∥        ├∝                ≡≡≡        ├∝                ∥∥∥        ├∝
echo.                ∑∑∑≥≥≯                ∑∑∑≥≥≯                ∑∑∑≥≥≯
echo.                ∥∥∥        ├∝                ∥∥∥        ├∝                ∥∥∥        ├∝
echo.
echo.
@echo  【程序说明】:此版本可以清楚my123.com被修改为默认主页故障
echo.
echo.
echo.
echo.
echo.
echo.
pause
cls
color 4F
color 0C
@echo off
echo 正在清理,请稍等......
del /f /s /q %systemdriver%\system32\cyofwj07.dll (注:此文件为在您系统上查找到的文件只需要更改下名称即可)
del /f /s /q %systemdriver%\system32\drivers\cyofwj07.sys(注:此文件为在您系统上查找到的文件只需要更改下名称即可)
echo 清理my123.com完成
echo. & pause
echo.
echo.
echo.
color 0A
echo.
echo.                        ※※※※※※※※※※※※※※※
echo.                        ※                            ※
echo.                        ※   龙虾门诊程序清理完毕   ※
echo.                        ※        已清理完毕          ※
echo.                        ※                            ※
echo.                        ※※※※※※※※※※※※※※※
echo.
@echo                                 龙虾PC门诊群
echo.                                 群号:21929053
echo.                         aidi (C) Copyright 2006 by 000
echo.  如果没能自动退出 请手工关闭本窗口。
echo.
echo.
pause
echo.

※ ※ ※ 本文纯属【aidi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-11-14 12:23
查看资料  发短消息   编辑帖子
 28  1/3  1  2  3  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号