瑞星卡卡安全论坛
一个人战斗 - 2007-4-9 10:15:00
意思就是说所有的EXE文件是被了,不可恢复。
真服了怕系统启不来还把系统 文件保护起来了。
不知现在其在网上的主要传播途径是什么?
baohe - 2007-4-9 10:19:00
| 引用: |
【孤独更可靠的贴子】
猫叔给的样本运行了没反映..>_<
我什么都关了,监控.SSM.文件监控和注册表监控也都关了
还是不行.
5555
……………… |
那样本是“原汁原味儿”的。
俺没“阉割”它。
horseluke11 - 2007-4-9 10:26:00
| 引用: |
【鸟儿天上飞的贴子】问题..就是在虚拟机里测试病毒..比如熊猫一类的 我家是居于网 能不能通过虚拟机传播到别的电脑上 玛姐姐也给下意见吧 大叔从来不用虚拟机的 估计问他没什么答案了
……………… |
可以,如果你设置不当的话。例如在ADSL路由等有局域网环境存在的情况下,你把VMWARE的某虚拟机中的联网方式改为bridged或者是NAT,在病毒运行的时候就能够直接在局域网中传播。如果是“host-only”病毒就有可能先从虚拟机感染到宿主机,然后再通过宿主机感染到局域网的其他网络。
建议把“connected”和“connected at power on”都勾掉。或者,添加几个主机,然后使用team模式(只是几部虚拟机之间的互联)......
附件:
783644200749101556.gif
horseluke11 - 2007-4-9 10:29:00
| 引用: |
【baohe的贴子】
那样本是“原汁原味儿”的。
俺没“阉割”它。
……………… |
呵呵,猫叔能否发一个样本给我? horseluke#126.com(#改为@)
鸟儿天上飞 - 2007-4-9 10:30:00
那我的硬盘现在只够装一个系统的空间我怎么设置呢.. 而且还不会通过居于网传播..然后虚拟机还可以上网
孤独更可靠 - 2007-4-9 10:33:00
| 引用: |
【baohe的贴子】
那样本是“原汁原味儿”的。
俺没“阉割”它。
……………… |
哎.算了.认输了..
附件:
828966200749102317.jpg
baohe - 2007-4-9 10:33:00
| 引用: |
【horseluke11的贴子】
呵呵,猫叔能否发一个样本给我? horseluke#126.com(#改为@)
……………… |
发了
horseluke11 - 2007-4-9 10:36:00
| 引用: |
【鸟儿天上飞的贴子】那我的硬盘现在只够装一个系统的空间我怎么设置呢.. 而且还不会通过居于网传播..然后虚拟机还可以上网
……………… |
理论上,虚拟机在处于局域网的情况下可以上网,就可以通过局域网传播......理由有点长,而且我说的不透彻,毕竟我玩虚拟机才那么两个月.....
horseluke11 - 2007-4-9 10:37:00
| 引用: |
【baohe的贴子】
瑞星貌似没有HIPS功能吧。
……………… |
其实瑞星还是有一个RD防护的,但做的不完善......
鸟儿天上飞 - 2007-4-9 10:39:00
| 引用: |
【horseluke11的贴子】
理论上,虚拟机在处于局域网的情况下可以上网,就可以通过局域网传播......理由有点长,而且我说的不透彻,毕竟我玩虚拟机才那么两个月.....
……………… |
谁帮帮我设置一下吧 我和你用的是一样的虚拟机..怎么设置可以把他变成单独的电脑呀..而且要可以上网哦 M版 聪哥在不在啊。..555
horseluke11 - 2007-4-9 10:46:00
| 引用: |
【鸟儿天上飞的贴子】
谁帮帮我设置一下吧 我和你用的是一样的虚拟机..怎么设置可以把他变成单独的电脑呀..而且要可以上网哦 M版 聪哥在不在啊。..555
……………… |
除非你是ADSL,然后使用BRIDGED,再最后就是在虚拟机拨号上网.......这样才有可能........
孤独更可靠 - 2007-4-9 10:47:00
| 引用: |
【鸟儿天上飞的贴子】
谁帮帮我设置一下吧 我和你用的是一样的虚拟机..怎么设置可以把他变成单独的电脑呀..而且要可以上网哦 M版 聪哥在不在啊。..555
……………… |
我以前用VM是设置NAT模式
要感染宿主机也要和普通感染局域等途径一样
一般都是带个(不怎么大的)字典,穷举破解
(不让虚拟机访问)
不然再开(宿)主机(影子模式),运行虚拟机
具体方法很麻烦,网上找找吧.
horseluke11 - 2007-4-9 11:00:00
虚拟机运行这只兔子......卡死........
狂人豺狼0 - 2007-4-9 11:02:00
我感觉自己的机子中了你们说的病毒
但是就是没有发现 兔子的标志 也可能是我没发现
不能关机 打开文件自动关闭 一闪而过
浏览器 也是如此
但是网没有断 有的网游 可以上但是 到了最后一步也是
自动关了 求助~~~~~~~~~~~~
horseluke11 - 2007-4-9 11:35:00
但是在虚拟机关闭了SSM之后..........竟然正常运行了....
后来发现,假如SSM正在运行,在启动病毒的时候SSM的CPU占用为70%——100%。何故?
还有,貌似这只兔子会发声音,可是我听不到.........
附件:
783644200749113702.gif
taylor05771 - 2007-4-9 12:20:00
把 注册表中的改动 复原
K掉 几个生成本体
启动系统自带的系统还原 应该可以搞定
过客2007 - 2007-4-9 12:36:00
这病毒报给瑞星了么??
过客2007 - 2007-4-9 12:46:00
网警大哥,瑞星规则包防范这些病毒的更新了么?
azxmyuhaiyuan - 2007-4-9 12:50:00
这么牛的病毒``````
horseluke11 - 2007-4-9 12:57:00
| 引用: |
【孤独更可靠的贴子】
哎.算了.认输了..
……………… |
根据你的图片显示,你使用的是Windows 2000。刚好虚拟机装了2000,就用来试验一下。
结果与你一样,也是无法运行。
估计所调用的API在Win 2000下面是无法调用的。
我也正因为上一次有某一只病毒会使得Windows 2000蓝屏死机但在XP下就会正常运行而把分析平台迁移到XP sp2......推荐你装多一个XP来分析,呵呵。
horseluke11 - 2007-4-9 13:04:00
| 引用: |
【taylor05771的贴子】把 注册表中的改动 复原
K掉 几个生成本体
启动系统自带的系统还原 应该可以搞定
……………… |
怕就怕在系统还原的设置那里......还有,前面也有人说了,假如你的操作系统装在其他盘,如D、e盘,那么你的操作系统将必死无疑,那么系统还原也将失去作用......
horseluke11 - 2007-4-9 13:26:00
| 引用: |
【azxmyuhaiyuan的贴子】这么牛的病毒``````
……………… |
这个病毒不牛,无非调用了批处理。只是破坏力极大......做好防范才是关键。
菜鸟玩病毒 - 2007-4-9 13:31:00
........在影子下运行这个兔子卡死.......
,等了我一刻还是没反映.....
JayFaye - 2007-4-9 14:12:00
KV2007主动防御第一步即可拦截,病毒被成功阻断,呵呵,打打广告吧附件:
349985200749140207.jpg
一个人战斗 - 2007-4-9 14:15:00
晕,没看到
一个人战斗 - 2007-4-9 14:38:00
建立病毒所需的同名文件,原理与建立autorun.inf相同,应该有作用吧。
JayFaye - 2007-4-9 15:17:00
| 引用: |
【JayFaye的贴子】KV2007主动防御第一步即可拦截,病毒被成功阻断,呵呵,打打广告吧
……………… |
之后还有很多动作,没发了
孤独更可靠 - 2007-4-9 15:56:00
| 引用: |
【horseluke11的贴子】
根据你的图片显示,你使用的是Windows 2000。刚好虚拟机装了2000,就用来试验一下。
结果与你一样,也是无法运行。
估计所调用的API在Win 2000下面是无法调用的。
我也正因为上一次有某一只病毒会使得Windows 2000蓝屏死机但在XP下就会正常运行而把分析平台迁移到XP sp2......推荐你装多一个XP来分析,呵呵。
……………… |
呵呵,知道了,谢谢指点
嘿嘿,以前是有个XP的虚拟机(512内存有点卡,后来受不了,卸载了),还是比较喜欢用影子
省事,干净,HOHO~
xzlx3354 - 2007-4-9 17:37:00
看看这个百度空间,貌似就是作者
http://hi.baidu.com/bsgzz/blog/item/4e58d303d4abe9763912bb94.html
小小饭长 - 2007-4-9 17:45:00
呵呵
© 2000 - 2026 Rising Corp. Ltd.