» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 预升级反馈专区 » 网站挂马”半“突破微点经过以及几点建议   作者: 标题: 网站挂马”半“突破微点经过以及几点建议 hikitty911 新手上路 积分 21 发帖 21 注册 2007-4-5 #1  网站挂马”半“突破微点经过以及几点建议 最近很多网站被挂马，似乎就是微点首页上说的”“统计网站代码“问题，昨天浏览一个常去的论坛（影视帝国论坛，大家小心）就中招了，微点虽然拦了下来，但是病毒还是注入了进程，情况简介如下，请管理员参考： 1）昨晚打开网站，死机了几秒钟，微点报发现未知木马，选择了删除木马及其衍生物，提示成功，感觉就是一般的网站挂马，我也没太在意，关了IE。 2）运行了一会别的程序后，跳出对话框explorer无法读内存XXXX，桌面自动关闭，然后explorer.exe重新建立桌面恢复，桌面崩溃这也常有我也没意识到已经中招，没进行操作，微点也没报警（可能这时候木马已经注入了explorer.exe） 3）桌面又一次崩溃，这次explorer重新建立后桌面，图标，任务栏都没有了，ctrl+alt+del调出任务管理器手动结束并重建explorer.exe也不行了，虽然可以建立（管理器进程里确实存在explorer.exe，也许是同名病毒吧）每次都报错”无法读内存，地址XXXX“，只好重启 4）重启后在进入桌面前跳出网络连接提示对话框（我用ADSL上网需要输用户名和密码来拨号），我对自己系统的启动项很清楚，根本就没有什么需要联网的进程，即使需要自动升级的程序（比如搜狗拼音）也不可能抢在桌面生成前要求网络连接，必然是木马要联网下载无疑，当然不能让他得逞选取消连接保持脱机 5）这时系统已经被KO了，没有桌面任务栏，打不开资源管理器（虽然任务管理器进程里还有explorer.exe，关闭重建也不行）. 6）开始折腾。没法运行资源管理器相当麻烦，只有用任务管理器的新建任务-》浏览暂时代替，结果是 -运行的C:\ D:\报错无效设备null -360安全卫士无报错（恶意软件扫描，全面扫描，木马扫描） -微点无报错（可疑程序扫描，漏洞扫描） -系统日志上留了一项：PUID服务成功发送一个开始控件，应该就是它了，但是微点的病毒日志里说puid.sys已经删除了，看来是发作后才删除的，已经侵入explorer.exe了 -几个系统位置都查看了Regedit-》Run，Runonce，MSCONFIG-》启动，服务；没有可疑项，也许是隐藏起来了但是手边没有冰刃又不敢上网没法查出来 -没法用搜索就手动的列表看了一下windows和system32目录下的文件，没有什么新生成的怪名字的dll和exe（这个不敢保证毕竟文件太多了） -explorer.exe文件似乎没问题，也没有类似Explorer.exe之类的同名病毒 -优化大师恢复注册表无效，重启选择最后一次成功的配置无效，安全模式进行上述操作无效 -打开360的实时监控模块无效，看来还是木马的优先级高先控制了系统 7）黔驴技穷了。我只装了微点和360，没有全盘扫描工具。只有重装了，哎，为省空间ghost镜像还被我删了 最后突发奇想微点的“主动防御”，难道病毒不发作就不作为吗？最后尝试：开机后打开网络连接，果然木马开始下载病毒，微点也一一拦截报警，删之。其中一条比较特殊报explorer.exe为未知木马，选删除木马及衍生物后要求重启 8）重启后一切OK了，桌面恢复，赶快升级微点，报其中的几个未知病毒为灰鸽子，今天再升级报原病毒为agent.atq->这些病毒很有年头了怎么才更新啊？难道都是变种？ 9）系统日志里添了一项记录explorer.exe被替换成未验证的版本，系统自动恢复原版本。可能就是微点删了explorer.exe后XP自动恢复了原版文件。事后考虑，也许就是第一次重启后病毒程序代替或注入了原explorer.exe，下次再碰到这种情况直接用Unlocker之类的工具删除explorer.exe让XP自动从DLLCACHE里恢复可能就行了-》最好别有下次XD 技术虽然不懂，但是也不揣冒昧的提些建议： 1）已经拦截了为什么还被病毒得逞？微点的虚拟机技术不是可以在造成后果前先行一步捕捉到病毒行为并制止吗？这个情况是否是个案？主动防御是否有缺陷？不会对所有的病毒都是后发制人吧，系统都已经挂了再把病毒本体就地正法没意义啊 2）当然也有可能是病毒狂吃系统资源导致感染时微点暂时失效，熊猫烧香发作时卡巴斯基都卡了导致打开了主动防御的也起不到防御作用。微点在这方面能否有所突破？毕竟多牛的机器中了病毒也跑不快（微点是我所见过的资源/效果比最好的杀软,但是没有最好只有更好，衷心希望微点更进一步） 3）好像也有别人提到过，被突破之后的恢复措施？一旦系统瘫痪，微点进程/服务打不开查不到怎么办？在查不出问题的时候如何恢复原始环境？不能上网怎么办？当然可能全盘扫描模块出来后一切迎刃而解 4）系统关键部位的保护？比如explorer.exe或ieplorer.exe等系统关键进程文件不能设置实时监控，防止任何程序修改吗？至少被替换了给个通知 暂时想到这么多，等再有新的想法再Post，衷心希望微点越来越好 ※ ※ ※ 本文纯属【hikitty911】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-22 00:08 hikitty911 新手上路 积分 21 发帖 21 注册 2007-4-5 #2   贴上微点的病毒报告 ※ ※ ※ 本文纯属【hikitty911】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-22 00:10 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   感谢您反馈的这些信息，请您将您提到的论坛地址和您的技术支持信息（辅助功能-->生成技术支持信息）一起发送到support@micropoint.com.cn我们帮您具体分析一下，谢谢 信中请附上这个帖子的网址，方便帮您查收处理。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-1-22 00:25 hikitty911 新手上路 积分 21 发帖 21 注册 2007-4-5 #4   相关邮件已发送，请查收 PS：上网查了一下，才发现PUID.sys就是最近肆虐的机器狗~~ 看来是微点的拦截把它漏了~~考虑不明白的是漏报可以理解为什么报警了还拦不住呢？望引起重视 ※ ※ ※ 本文纯属【hikitty911】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-22 21:44 hikitty911 新手上路 积分 21 发帖 21 注册 2007-4-5 #5   想法：还有在系统被破坏后能否创造一个干净的环境用于基本的调试操作？（XP的安全模式太脆弱了，很容易被攻击瘫痪）应用虚拟机技术应该不难做到吧，可以采用类似于带毒杀毒的想法或是类似安全恢复引导盘的模式？当然这个环境不必太强大，要不然直接Ghost更便于操作 ※ ※ ※ 本文纯属【hikitty911】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-22 22:06 共享 注册用户 积分 135 发帖 135 注册 2007-3-3 #6   楼主的细心，真是比不了，佩服！ ※ ※ ※ 本文纯属【共享】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-23 08:12 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #7   感谢楼主的反馈，微点预升级最新版本已经能够很好的处理此类病毒，请升级到最新进行测试，如果不是预升级，请申请，具体内容请浏览: http://bbs.micropoint.com.cn/showthread.asp?tid=1445 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-1-24 18:04 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号