卡饭茶舍 | 软件下载专区 | HIPS专区 | 防火墙专区 | 病毒样本区 | 国内杀软专区 | 国外杀软专区 | 卡饭计算机安全软件下载中心
免费的安全盛宴 | 关于安全软件的12个谣言和误会~ 卡巴官方最新正式版 | 官方最新测试版帮助他人,快乐自己 | 助人者,人助之91款国外杀毒软件官方介绍 附优秀文章
论坛常见问题解答 | 相逢在论坛从杀毒软件到文化 | 我们为什么要装防火墙hips新手入门 | 卡饭HIPS教程集合病毒样本区 | 费尔区
‹‹ 上一主题 | 下一主题 ››
 24 123
发新话题
打印

[讨论] 局长的黑名单真强大,允许病毒运行,但病毒无能为力

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
1楼 发表于 2008-8-20 21:31  只看该作者

局长的黑名单真强大,允许病毒运行,但病毒无能为力

Tags: 黑名单 局长 无能为力 运行

过大多数杀软,KIS2009虽主防挡住了一些,但还是会中http://bbs.kafan.cn/viewthread.php?tid=310554&extra=&page=1

在这里看到一个样本,下来玩玩,运行

先是要在SYSTEM32目录生成NOTEPVO.EXE,允许,
再要在C盘根目录下生成NOTEPVO.EXE,允许,
再要在C盘根目录下创建成AUTORUN.INF,允许,
然后是D盘生成NOTEPVO.EXE和AUTORUN.INF,允许,
往后是在E F G Z盘分别生成NOTEPVO.EXE和AUTORUN.INF,因为那些盘有重要东东,故拦截了
然后是要求在SYSTEM32目录生成SetupDel.bat文件,没有允许,然后,程序被结束。

进入SYSTEM32目录下查看,没有生成东西,C盘根目录下也没有生成东西
D盘下生成了NOTEPVO.EXE和AUTORUN.INF,删掉了。

对局长真是佩服得WTTD

[ 本帖最后由 郭襄 于 2008-8-20 23:03 编辑 ]

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
2楼 发表于 2008-8-20 21:41  只看该作者
说明一下,局长的黑名单中并没有包含:SetupDel.bat NOTEPVO.EXE和AUTORUN.INF这三个文个名,大小写均无
我是VISTA系统,是隔离了c:\windows\system32\dllhost.exe后,无法往系统目录创建文件,不知道XP是否如此

[ 本帖最后由 郭襄 于 2008-8-21 09:39 编辑 ]

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
3楼 发表于 2008-8-20 21:45  只看该作者
今天早上无事,又到 http://bbs.kafan.cn/thread-280903-1-1.html 此处下了一个毒来运行,这个的动作非常多
比如:
1、PROTECT FILES FOLDERS
\Device\NamedPipe\lsass
*\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
\Device\Nsi
\Device\Afd

2、PROCESS TERMINATINOS
D:\Program Files\Mozilla Firefox\firefox.exe

3、WINDOWS MESSAGES
C:\Program Files\COMODO\Firewall\cfp.exe
以上动作没有敢放行

4、PROTECT FILES FOLDERS中放行了以下:
C:\Windows\System32\drivers中生成beep.sys,允许
C:\Windows\System32中生成SiZhu.exe,允许

然后病毒自已结束了

结果是:
1、C:\Windows\System32中没有生成SiZhu.exe,
2、C:\Windows\System32\drivers中成功生成了beep.sys

不知道为什么能在drivers生成驱动,比较纳闷


补充:能够在C:\Windows\System32\drivers中写入beep.sys
但无法把BEEP.SYS剪切到别处,也无法删除,很郁闷。
把dllhost.exe从黑名单中删除也不能做到,不知道为什么?准备去PE了

=====================

刚刚从PE下回来,PE下也不能删除,呵呵,在想办法

====================
刚刚把所有者从TrustedInstaller改为自已的用户名,取得所有权后,删除掉了


============
看来不能乱放行毒,呵呵

[ 本帖最后由 郭襄 于 2008-8-21 11:12 编辑 ]

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
4楼 发表于 2008-8-20 22:37  只看该作者
样本帖中说到系统时间被修改
不知道如果有这样的动作,毛豆是如何提示的
我没有见到提示
同时我在组策略中也禁止了任何用户修改系统时间,没有发现系统时间被改

TOP

大鱼弱智

缸中酒

卡饭_正式会员

Rank: 1

帖子
134 
积分
137 
技术值
0  
魅力值
0  
人气值
2  
防御装备
红豆 
注册时间
2008-4-6 
5楼 发表于 2008-8-20 22:41  只看该作者
系统时间毛豆有保护的!

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
6楼 发表于 2008-8-20 23:07  只看该作者
刚刚又再运行了一次,允许在SYSTEM32目录生成SetupDel.bat,结果是:无法生成

TOP

jeccci5

黄瓜上酱

卡饭_帮助适应会

Rank: 7Rank: 7Rank: 7

帖子
16177 
积分
25640 
技术值
1  
魅力值
32  
人气值
10  
防御装备
鼓励+引导+融合 
注册时间
2008-3-23 

卡饭_帮助适应会成员:引导、鼓励、融合

7楼 发表于 2008-8-20 23:12  只看该作者
LZ知道局长的厉害了吧
技术达人不是吹的


帮助适应会的主要任务就是帮助论坛上的新人,使之更好的适应和熟悉论坛的交流和沟通方式,减少不必要的违规;同时,协助论坛版主维护论坛的基本秩序,为广大卡饭创建一个更加和谐,良好,温馨的沟通和讨论氛围。

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
8楼 发表于 2008-8-20 23:13  只看该作者
刚刚运行D盘生出来的NOTEPVO.EXE,这次给的是安装和升级的权限,然后在D E F G Z盘生成了NOTEPVO.EXE和AUTORUN.INF,但系统盘仍然无法写入。

TOP

huai168an

卡饭_帮助适应会

Rank: 7Rank: 7Rank: 7

BT无止境

帖子
6374 
积分
11851 
技术值
2  
魅力值
32  
人气值
49  
防御装备
防为上即随心所欲 
来自
"命运" 
注册时间
2008-4-13 

卡饭_帮助适应会成员:引导、鼓励、融合

9楼 发表于 2008-8-20 23:23  只看该作者
楼主胆子真大啊

如果黑名单中没有类似的程序名规则与autorun.inf规则的话,后果。。。。。。。。

黑名单也可以看做一种“病毒库”,也要“更新”的,没匹配的“特征码”的话。。。


秋日的私语,带来的凄凄痕迹,带走的却是炽热的心。

开始学习linux

TOP

郭襄

该卡饭已永住思过崖

帖子
199 
积分
212 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2008-8-10 
10楼 发表于 2008-8-20 23:31  只看该作者
引用:
原帖由 huai168an 于 2008-8-20 23:23 发表
楼主胆子真大啊

如果黑名单中没有类似的程序名规则与autorun.inf规则的话,后果。。。。。。。。

黑名单也可以看做一种“病毒库”,也要“更新”的,没匹配的“特征码”的话。。。
呵呵,刚刚查了一下,确实没有autorun.inf,SetupDel.bat,NOTEPVO.EXE,大小写均无
我放行了,日志里也并没有看到有拦载这三个东东
关键是隔离了c:\windows\system32\dllhost.exe后,不能往系统目录写入东西

[ 本帖最后由 郭襄 于 2008-8-20 23:35 编辑 ]

TOP

‹‹ 上一主题 | 下一主题 ››
 24 123
发新话题
卡饭论坛