致“孤独更可靠”：没有IFEO键,DCFEEAC5.EXE就是个残废. bbs.ikaka.com

baohe - 2007-6-6 10:25:00

1、关闭所有安全软件，运行DCFEEAC5.EXE（图1）。

附件: 155847200766101534.jpg

baohe - 2007-6-6 10:26:00

2、重启。重启后，所有安全软件可以正常运行，用auroruns可看到病毒启动项（图2）。可用autoruns删除之。

附件: 155847200766101620.jpg

baohe - 2007-6-6 10:27:00

3、删除其启动项后，病毒试图通过explorer.exe重写其启动项（图3）；可被SSM阻止。

附件: 155847200766101709.jpg

天月来了 - 2007-6-6 10:27:00

又看猫猫的贴了

baohe - 2007-6-6 10:27:00

4、IFEO劫持项————一个也没写成（图4）。因为我事先已将IFEO键删除了。由此可见，目前的变种尚无建立IFEO键的能力。

附件: 155847200766101746.jpg

孤独更可靠 - 2007-6-6 10:28:00

这次更新的和以前作风大相径庭哈``

baohe - 2007-6-6 10:28:00

5、病毒文件可以通过普通方式删除（图5）。然后，顺手删除那个CLSID即可。

附件: 155847200766103540.jpg

孤独更可靠 - 2007-6-6 10:32:00

那此更新是加了ASProtec壳,有些功能好像没有发挥出来``

好像又更新了```

baohe - 2007-6-6 10:33:00

引用:

【孤独更可靠的贴子】

这次更新的和以前作风大相径庭哈``

………………

我认为：主要是因为我事先删除了IFEO键的原因。

孤独更可靠 - 2007-6-6 10:36:00

引用:

【baohe的贴子】
我认为：主要是因为我事先删除了IFEO键的原因。
………………

我也给了阳光个,他说也没有生成IFEO

我也写了个分析``

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html

插进程的那个dll,重启后autoruns也可以打开啊?

baohe - 2007-6-6 10:40:00

引用:

【孤独更可靠的贴子】

我也给了阳光个,他说也没有生成IFEO

我也写了个分析``

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html

插进程的那个dll,重启后autoruns也可以打开啊?

………………

我的autoruns早就不叫autoruns了。
这种不需要安装的DD，机动性很强，随便你将其放在哪里————都行。
为什么给病毒留机会？

孤独更可靠 - 2007-6-6 10:53:00

引用:

【baohe的贴子】
我的autoruns早就不叫autoruns了。
这种不需要安装的DD，机动性很强，随便你将其放在哪里————都行。
为什么给病毒留机会？
………………

Dll检查窗口"关键字"关闭的``(这次用了另类挂勾技术)

好像打不开啊!

嘿嘿,用冰刃可以乱删``

baohe - 2007-6-6 10:57:00

引用:

【孤独更可靠的贴子】

Dll检查窗口"关键字"关闭的``(这次用了另类挂勾技术)

好像打不开啊!

嘿嘿,用冰刃可以乱删``

………………

更改一下Tiny的设置即可。
Tiny的“禁止获得系统权限、代码注入、改变对象安全属性”的设置：
观测病毒时，只要有红框所示的设置，即使放它一码（蓝框，运行病毒前临时改的），病毒难掀起大浪。

附件: 155847200766104746.jpg

1212212313 - 2007-6-6 11:04:00

去看下我的帖子帮我也解决下斑竹

孤独更可靠 - 2007-6-6 11:08:00

引用:

【baohe的贴子】
更改一下Tiny的设置即可。
Tiny的“禁止获得系统权限、代码注入、改变对象安全属性”的设置：
观测病毒时，只要有红框所示的设置，即使放它一码（蓝框，运行病毒前临时改的），病毒难掀起大浪。
………………

哈哈,SSM设置禁止全局挂勾的话``所有事情都省了`

西西``

附件: 828966200766105840.jpg

baohe - 2007-6-6 11:20:00

引用:

【孤独更可靠的贴子】

哈哈,SSM设置禁止全局挂勾的话``所有事情都省了`

西西``
………………

SSM的explorer规则这样设置，某些应用程序的性能可能会受影响。

baohe - 2007-6-6 11:28:00

【回复“孤独更可靠”的帖子】
这类下流病毒的防护关键：
1、删除IFEO键。
2、用Tiny禁止IFEO键的建立、写入、删除操作。

估计至少可以解决中招后大多数安全软件被劫持的问题了。

附件: 155847200766111828.jpg

孤独更可靠 - 2007-6-6 11:30:00

引用:

【baohe的贴子】【回复“孤独更可靠”的帖子】
这类下流病毒的防护关键：
1、删除IFEO键。
2、用Tiny禁止IFEO键的建立、写入、删除操作。

估计至少可以解决中招后大多数安全软件被劫持的问题了。
………………

是的,Explorer这个项设置应该不能太严``

IFEO写下权限,只读就可以了``

还有其他的,只能靠HIPS辅助了``

baohe - 2007-6-6 11:38:00

引用:

【孤独更可靠的贴子】

Dll检查窗口"关键字"关闭的``(这次用了另类挂勾技术)

好像打不开啊!

………………

熊猫烧香就采用过这类下流手段。
其实，这很愚蠢。
用户运行什么程序，病毒就立即将其窗口关闭。这不是明摆着告诉用户————病毒进来了啊！
这种下流手段，也就是在菜鸟面前炫耀一下————我够狠！其它的效果————怀疑！
真正刁钻的病毒作者会鄙视/摒弃这种做法。

天月来了 - 2007-6-6 11:44:00

是啊

应该是只用1%的CPU使用量，就能搞走密码，那才是最高境界呢。

不知不觉的。

watermelon9 - 2007-6-6 12:33:00

引用:

【baohe的贴子】
熊猫烧香就采用过这类下流手段。
其实，这很愚蠢。
用户运行什么程序，病毒就立即将其窗口关闭。这不是明摆着告诉用户————病毒进来了啊！
这种下流手段，也就是在菜鸟面前炫耀一下————我够狠！其它的效果————怀疑！
真正刁钻的病毒作者会鄙视/摒弃这种做法。
………………

顶，最怕的就是这种不露行迹的了.你再牛，大不了我重做系统

瑞星卡卡安全论坛