分析一只病毒(转自雨林)发现一个问题
在这里谢谢卡巴007为我们提供病毒样本[attach]338859[/attach]
我是用KIS 8.0用交互模式,在虚拟机里面进行分析
在卡巴FD设置默认情况下,发现这个病毒(这个病毒运行后自动放到低度限制组)会生成一个(随机命名).bat的文件,这个.bat会自动放到低限制组,除了卡巴保护的文件,其它盘的文件都会给它删除,删除过程中没有提示,........FD设置默认情况看多危险
[attach]338861[/attach]
[attach]338862[/attach]
[attach]338863[/attach]
当在资源里面设置如图,才会有提示允不允许.bat文件创建
[attach]338864[/attach]
[attach]338865[/attach]
[attach]338866[/attach]
交互模式下,默认的FD,就算程序被放到低限制组.可是它生成的.bat文件一样具有危险性,把你的文件删除,哭也没用 大家请注意啊....讨论的是交互模式下默认的FD文件问题 嗯,种种迹象表明,卡巴的低受限组还是权限太大,有安全隐患。还有对于删除文件的动作卡巴没有反应,微点貌似可以阻止删除动作! 把cmd.exe放入untrusted可以解决么?[:13:] 那个提示是自定义的么?挺好玩的,还“老大”,吼吼,“干掉”改成“做掉”更猛 可以直接跟帖,干吗另开帖呢??? [quote]原帖由 [i]tiancai2nd[/i] 于 2008-8-19 18:26 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4544671&ptid=310084][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
那个提示是自定义的么?挺好玩的,还“老大”,吼吼,“干掉”改成“做掉”更猛 [/quote]哥们跟我想得一样这玩意是不错也不知道是不是自定义的呢还是安装什么软件来实现[:01:]
页:
[1]