过所有杀软扫描(微点注册表保护全开能部分拦截)的修改主页病毒
哇哈哈 今天由于微点测试的需要去下了个sp3的系统大家也知道嘛 最近很多下载站都河蟹了
所以我就冒着巨大的风险去迅雷上下了 顺便先抓点好玩的东东
果然不出我所料 果然抓住鸟 如图 仔细观察一下是声卡驱动图标 再看看所在文件夹 再看看文件名…… msconfig竟然跟声卡驱动联系在一起(我真佩服作者的想象力) 这东东也太不会隐藏自己了[:06:]
[attach]341093[/attach]
HIPS运行之后发现病毒是通过注册表强行修改IE主页为wwXXw.go2000.cn(当然你想直接通过修改IE选项改回来那是做梦) 并且顺便释放了几个网页到收藏夹下(在此顺便怀着诚挚的心情问候go2000站长的母亲)
微点的主防直接miss 为了测试微点注册表保护那个我从来不用功能 本人进行了如下测试
由于sp3系统还没清理完 可能还有其他好东西 我就把那个东东弄到测试用的sp2的干净系统下
原来主页就是卡饭扫描区见图
[attach]341094[/attach]
微点保护全开
[attach]341095[/attach]
[attach]341096[/attach]
主角登场
[attach]341097[/attach]
运行之后 微点弹出提示框 然后点阻止(废话) 别以为到此结束
[attach]341098[/attach]
但是微点令我很失望 无论是注册表保护还是注册表锁定MS都只是个花架子 不知道是微点注册表保护的bug还是怎么回事
单步动作的果然有过智能主防的天生优势 希望微点官方注意这个问题 微点还是需要不断完善滴~~~~~~~~[:07:]
[attach]341099[/attach]
附样本区链接(一开始忘了 谢谢polly提醒哈) 欢迎大家下载玩玩 解压密码:kafan
PS:本样本同时上报微点官方和XE的DZ
[url=http://bbs.kafan.cn/viewthread.php?tid=312107&extra=page%3D1&frombbs=1]http://bbs.kafan.cn/viewthread.php?tid=312107&extra=page%3D1&frombbs=1[/url]
VirSCAN.org Scanned Report :
Scanned time : 2008/08/22 16:19:28 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name : msconfig.exe
File Size : 270457 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 66f6da5dc11bd99d15bfea50ac710a2e
SHA1 : c0b915680b2f4486fda3b14d3eccb01eeb56997d
Online report : [url=http://virscan.org/report/28fbfd3f74ea842cc9eebb742909a9ec.html]http://virscan.org/report/28fbfd3f74ea842cc9eebb742909a9ec.html[/url]
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.22 2008.08.21 2008-08-21 3.16 -
安博士V3 2008.08.22.01 2008.08.22 2008-08-22 0.95 -
AntiVir 7.8.1.23 7.0.6.52 2008-08-22 2.30 -
Arcavir 1.0.5 200808211436 2008-08-21 1.40 -
AVAST! 3.0.1 080821-0 2008-08-21 0.06 -
AVG 7.5.51.442 270.6.6/1626 2008-08-21 1.58 -
BitDefender 7.60825.1571632 7.20620 2008-08-22 2.85 -
CA (VET) 9.0.0.143 31.6.6040 2008-08-22 5.36 -
ClamAV 0.93.3 8070 2008-08-22 0.25 -
Comodo 2.11 2.0.0.624 2008-08-22 0.43 -
CP Secure 1.1.0.715 2008.08.21 2008-08-21 6.34 -
Dr.Web 4.44.0.9170 2008.08.22 2008-08-22 4.10 -
ewido 4.0.0.2 2008.08.21 2008-08-21 2.49 -
F-Prot 4.4.4.56 20080821 2008-08-21 1.05 -
F-Secure 5.51.6100 2008.08.21.09 2008-08-21 0.26 -
飞塔 2.81-3.11 9.458 2008-08-22 2.05 -
ViRobot 20080821 2008.08.21 2008-08-21 0.48 -
Ikarus T3.1.01.34 2008.08.22.71322 2008-08-22 3.56 -
江民杀毒 11.0.706 2008.08.22 2008-08-22 1.20 -
卡巴斯基 5.5.10 2008.08.22 2008-08-22 0.20 -
金山毒霸 2008.1.14.15 2008.8.22.14 2008-08-22 0.70 -
迈克菲 5.2.00 5367 2008-08-21 2.69 -
Microsoft 1.3807 2008.08.21 2008-08-21 4.56 -
mks_vir 2.01 2008.08.19 2008-08-19 2.76 -
Norman 5.93.01 5.93.00 2008-08-21 5.81 -
熊猫卫士 9.05.01 2008.08.21 2008-08-21 2.10 -
趋势科技 8.700-1004 5.494.03 2008-08-21 0.05 -
Quick Heal 9.50 2008.08.21 2008-08-21 1.73 -
瑞星 20.0 20.58.40.00 2008-08-22 0.99 -
Sophos 2.77.0 4.32 2008-08-22 2.06 -
Sunbelt 3.1.1571.1 2200 2008-08-21 0.82 -
赛门铁克 1.3.0.24 20080821.017 2008-08-21 0.18 -
nProtect 2008-08-22.00 1909009 2008-08-22 3.84 -
The Hacker 6.3.0.6 v00058 2008-08-21 0.49 -
VBA32 3.12.8.4 20080821.1126 2008-08-21 1.22 -
VirusBuster 4.5.11.10 10.84.7/598356 2008-08-21 1.39 -
[[i] 本帖最后由 killerwhale 于 2008-8-22 17:07 编辑 [/i]] 自己的sf自己坐 不给syfwxmh机会[:10:]
[[i] 本帖最后由 killerwhale 于 2008-8-22 14:58 编辑 [/i]] 对于这些站长我深表遗憾并强烈谴责 测试很辛苦。感谢LZ的努力!![:09:]
[[i] 本帖最后由 polly5771 于 2008-8-22 16:17 编辑 [/i]] [quote]原帖由 [i]polly5771[/i] 于 2008-8-22 15:06 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4572438&ptid=312091][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不要发病毒包[:05:]
哪位来核对一下??[:10:] [/quote]
我就不了…… 大家慢慢试 什么也不说,看图
[attach]341159[/attach]
[attach]341160[/attach]
[attach]341161[/attach]
[attach]341162[/attach]
[attach]341163[/attach]
是不是病毒不知道,反正,我这被保护的东西都没有被修改
[color=red]补充一下:桌面的ie快捷方式是我从开始菜单里拖出来的,不是病毒释放的……,谢谢楼主提醒,我都没注意这个问题![/color]
[[i] 本帖最后由 lonelyive 于 2008-8-22 18:29 编辑 [/i]]
回复 6楼 lonelyive 的帖子
我没大看明白你的话你的意思是病毒通过注册表改主页的行为被拦截了 但是那个病毒修改了桌面和快速启动栏的IE快捷方式 在后面加上了自己的网址的命令 是那个行为过了微点
所以主页其实没被改 被改的只是快捷方式
因为我确实是用桌面(而非开始菜单)的快捷方式启动的IE 发现启动的是go2000 所以我被这表象骗了 以为是修改主页那一步微点miss了?
[[i] 本帖最后由 killerwhale 于 2008-8-22 16:07 编辑 [/i]]
回复 8楼 killerwhale 的帖子
用腾讯TT的飘过[:08:] [quote]原帖由 [i]killerwhale[/i] 于 2008-8-22 15:52 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4572911&ptid=312091][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]我没大看明白你的话
你的意思是病毒通过注册表改主页的行为被拦截了 但是那个病毒修改了桌面和快速启动栏的IE快捷方式 在后面加上了自己的网址的命令 是那个行为过了微点
所以主页其实没被改 被改的只是 ... [/quote]
按照图里看应该是。建议那位朋友看看快捷方式里的内容
然后您看看注册表里的主页有没有被改,或者从文件夹里直接运行ie本身试试 谢谢6楼的提醒
=会我再试试好了 应该是我错了
但是我觉得即使确实是按照你说的那样…… 微点的拦截算成功吗?(注册表拦截是成功的 主防还是有待改进吧)
因为确实很少人像你这样心思缜密…… 像我一样的俗人绝对认为是微点拦截失败了
谢谢你了 以后多指教[:xi47:]
[[i] 本帖最后由 killerwhale 于 2008-8-22 16:04 编辑 [/i]] 快速启动栏确实被改了,我任务栏都不开这个的,楼主真仔细啊[:13:]
只能发挥一下人的主观能动性了[:15:]
回复 2楼 killerwhale 的帖子
怎么又是我~~好XE阿[:xi24:] 试毒有勇气,观察须仔细。:)另:对于这种通过修改IE的快捷方式来欺骗用户的行为,微点也应该做为可疑动作监控起来。
[[i] 本帖最后由 dave_c 于 2008-8-22 16:09 编辑 [/i]] 估计是用了特殊的修改方法
怎么个特殊 。。不清楚 但是在视频上见识过
回复 14楼 spicalhook 的帖子
没什么特殊的 在快捷方式后面加了一行命令而已回复 15楼 killerwhale 的帖子
我都没看你们的回复[:01:]学习了 "C:\Program Files\Internet Explorer\IEXPLORE.EXE" [url]http://www.go2000.cn[/url]
果然如我所料 我就知道是這樣 影子路過[:xi17:]
回复 6楼 lonelyive 的帖子回复 13楼 dave_c 的帖子
我现在观察的更仔细6楼的朋友 我注意到你的桌面上的IE快捷方式有一个小箭头 从开始菜单栏里拖出来的吧[:01:]
绝对不是XP一开始在桌面上添加的那个图标 请你用[url]http://www.it.com.cn/f/edu/081/7/532996.htm[/url]这个方式还原一下XP一开始创建的快捷方式 你就会发现打开的还是go2000
所以那个病毒修改了2个IE快捷方式 而且是最常用桌面的 和启动栏的(反正我是从来没从开始菜单启动过) 危害很巨大 用IE的很多人估计都没能找到解决方法 暈 答案公佈啦 白試的[:xi16:]
回复 19楼 kuririn 的帖子
您真的认为修改IE快捷方式不算恶意行为如果是普通用户的话 能解决这个问题的概率大概是多少? 我估计能有20%就不错了
[[i] 本帖最后由 killerwhale 于 2008-8-22 16:21 编辑 [/i]]