對付 ESET NOD32
病毒名称:Trojan-GameThief.Win32.OnLineGames.sbyi (Kaspersky)病毒大小:52.8KB
病毒类型:未知
传播方式:未知
MD5:799C4C5C1748EA844D97F81E07F34D7A
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.創建 副本到根目錄
[quote]2006-07-08 18:22:39 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:D:\NTDUBECT.EXE
[/quote]
2.運行net.exe,停用下列服務
[quote]2006-07-08 18:22:39 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Security Center"
2006-07-08 18:22:39 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop "Windows Firewall/Internet Connection Sharing (ICS)"
2006-07-08 18:22:39 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\net.exe
命令行:stop System Restore Service
[/quote]
3.運行 sc.exe,修改 NOD 的服務
[quote]2006-07-08 18:22:40 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config ekrn start= disabled
2006-07-08 18:22:50 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config NOD32krn start= disabled
[/quote]
4.運行taskkill.exe,結束 NOD 的進程
[quote]2006-07-08 18:22:40 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im ekrn.exe /f
2006-07-08 18:22:48 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im egui.exe /f
2006-07-08 18:22:51 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im nod32krn.exe /f
2006-07-08 18:22:52 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im nod32kui.exe /f
[/quote]
5.創建文件
[quote]2006-07-08 18:22:52 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\Documents and Settings\Roger\Local Settings\Temp\SETUP.EXE
[/quote]
6.運行 cmd.exe ,刪除副本
[quote]2006-07-08 18:22:57 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\kkk\kkk.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del D:\NTDUBECT.EXE
2006-07-08 18:22:57 文件保护(删除文件) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\EQSandBox\D\NTDUBECT.EXE
[/quote]
防范对策和规则:
1.net.exe, sc.exe, taskkill.exe,平常少用到,可以阻止被運行
[[i] 本帖最后由 a256886572008 于 2008-7-9 08:53 编辑 [/i]] 果然够垃圾的病毒 sc命令对NOD32管用么……
回复 3楼 没注册 的帖子
NOD32的自我保护不是一般的差而且估计这个样本也不会入库的 SC命令都管用啊……
怎么不会入库啊
回复 5楼 没注册 的帖子
公司懒得无可救药,病毒就算摆在眼前十天半月之内能入库的话算很不错了,很多时候根本就不鸟你 这个东西对老NOD32有效新的无效
不过新的也是可以用sc delete ekrn
[[i] 本帖最后由 aarwwefdds 于 2008-7-9 22:19 编辑 [/i]] [quote]原帖由 [i]没注册[/i] 于 2008-7-9 20:56 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4098746&ptid=284283][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
SC命令都管用啊……
怎么不会入库啊 [/quote]
人家病毒分级呀[:xi5:]
赶上IMDB了[:xi5:]
回复 7楼 aarwwefdds 的帖子
你自己执行一下就知道管不管用了 [:xi20:] *** 作者被禁止或删除 内容自动屏蔽 *** [quote]原帖由 [i]solcroft[/i] 于 2008-7-9 22:16 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4099677&ptid=284283][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]你自己执行一下就知道管不管用了 [:xi20:] [/quote]
我只是针对这个病毒来说
新的也当然可以用sc delete ekrn搞定...
回复 10楼 spiha 的帖子
前几天翻到的一个downloader就是用这个命令的而且还是VT上70%多引擎都报毒的那一类,只有NOD32傻眼的看着 [:08:] Scan Log
Version of virus signature database: 3276 (20080717)
Date: 2008-7-17 Time: 23:34:55
Scanned disks, folders and files: G:\v\kkk.zip
G:\v\kkk.zip » ZIP » kkk.exe - Win32/TrojanDropper.Small.NHT trojan - was a part of the deleted object
Number of scanned objects: 1
Number of threats found: 1
Number of cleaned objects: 1
Time of completion: 23:34:56 Total scanning time: 1 sec (00:00:01) NOD的高启发没启发?晕 解压就被删除了 2008-8-2 0:01:26 文件系统实时防护 文件 E:\test\kkk\kkk.exe Win32/TrojanDropper.Small.NHT 特洛伊木马 通过删除清除 - 已隔离 NT AUTHORITY\SYSTEM 在应用程序新建的文件上发生事件: D:\WinRAR\WinRAR.exe.
页:
[1]