微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 微点与时间病毒  

 12  1/2  1  2  > 
作者:
标题: 微点与时间病毒
tanlimo
新手上路





积分 30
发帖 30
注册 2007-2-24
#1  微点与时间病毒

前几天遇到了一个很难缠的病毒,它可以将时间锁定类似于微点的时间锁定功能,无论你怎么改在点击应用后时间会立马被改回来,当时想到了微点但问题也来了,系统时间已经被病毒控制,本来指望着微点能够杀出这个时间病毒,但是微点居然毫无动静!而且微点的时间保护只提供时间锁定却不提供更改时间的功能,这样一来也只能对那个2001年干瞪眼。

通过这次时间病毒事件我希望微点能有以下二点改进

1、微点的时间保护除了能锁定系统时间外应该在增加一个强制更改时间的功能

2、对于非法修改、锁定系统时间的行为应视为病毒行为,对于这类程序微点应做出反应

[ Last edited by tanlimo on 2007-8-11 at 20:43 ]

※ ※ ※ 本文纯属【tanlimo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-11 20:41
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请将该病毒样本加密发送到virus@micropoint.com.cn 邮件中付上加密的密码和本论坛的连接,以方便我们跟您联系 谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-8-11 20:45
查看资料  发短消息   编辑帖子
tanlimo
新手上路





积分 30
发帖 30
注册 2007-2-24
#3  

当时系统时间被改,很多安全软件都不能使用,所以根本就没有找到病毒样本。

※ ※ ※ 本文纯属【tanlimo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-11 20:47
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

可以通过进程启动日志查查在那段时间是否有什么程序在运行 然后看看程序生成日志看能不能查出这个程序是谁生成的

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-8-11 20:50
查看资料  发短消息   编辑帖子
tanlimo
新手上路





积分 30
发帖 30
注册 2007-2-24
#5  

用IceSword查看没有可疑进程,发现几个可疑DLL和SYS特别是一个以数字命名的SYS文件(每次启动电脑后名字都会有所不同),但是根本找不到这个文件(用IceSword和winRAR查看的)。
用SREng,时间被改无法使用
用瑞星听诊信器4.4扫描日志,发现几个可疑DLL和SYS,用粉碎器清除后问题未解决(可疑DLL和SYS没有再生)
用360扫描后发现几个木马,清除后问题未解决(木马未再生)
时间被改,卡巴被废无法使用
使用微点,没有反应。

[ Last edited by tanlimo on 2007-8-11 at 21:06 ]

※ ※ ※ 本文纯属【tanlimo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-11 20:58
查看资料  发短消息   编辑帖子
jobcreep
银牌会员

我的昵称:小爬


积分 2527
发帖 2527
注册 2007-7-13
来自 陕西西安
#6  

你有没有试过,先锁定时间再中毒呢?

※ ※ ※ 本文纯属【jobcreep】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

在蓝天下
献给你
我最好的年华!
我的博客“杂货铺”,普天之下,没有我不关心的!
http://hexun.com/jobcreep1899/default.html   
2007-8-12 11:38
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
tanlimo
新手上路





积分 30
发帖 30
注册 2007-2-24
#7  



  Quote:
Originally posted by jobcreep at 2007-8-12 11:38:
你有没有试过,先锁定时间再中毒呢?

问题是已经中毒了啊。

※ ※ ※ 本文纯属【tanlimo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-12 12:58
查看资料  发短消息   编辑帖子
baijian_8d
中级用户




积分 289
发帖 286
注册 2007-5-27
#8  

叫管理员远程帮你看吧。

也许他会发现你没有发现的东西。

※ ※ ※ 本文纯属【baijian_8d】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-12 13:19
查看资料  发短消息   编辑帖子
jobcreep
银牌会员

我的昵称:小爬


积分 2527
发帖 2527
注册 2007-7-13
来自 陕西西安
#9  

我同学以前中过一次,最后全盘格式化了

※ ※ ※ 本文纯属【jobcreep】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

在蓝天下
献给你
我最好的年华!
我的博客“杂货铺”,普天之下,没有我不关心的!
http://hexun.com/jobcreep1899/default.html   
2007-8-12 13:59
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
35455009
新手上路





积分 22
发帖 22
注册 2007-8-13
#10  

我杀过这个病毒.病毒把自己注册为系统服务了,你到控制面板-管理工具-服务里面,找找有没有一个无描述,状态为已启动,启动类型为已启动,名称我忘记叫什么了.你把这个服务关掉,然后禁止,这样就可以修改时间了.----当时公司有一台没升级的KAV就是被这个病毒給干掉的,我也是这样解决的.

※ ※ ※ 本文纯属【35455009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-13 06:48
查看资料  发送邮件  发短消息   编辑帖子
 12  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号