瑞星卡卡安全论坛

别忙着动手。三思后行。不要勉强。
沙盘下运行样本是体现不到木马群的真正实力的：
1. 沙盘下不能安装服务和驱动
2. 沙盘下的进程难以对沙盘外的其他进程进行操作，因此插入进程行为会被阻止，违背了考验前提。
3. 沙盘关闭后，病毒不再运行，体现不出病毒常驻内存对杀毒造成的困难。
沙盘下大量的API和SSDT被HOOK，相当于屏蔽掉了病毒的很多动作。

因此，沙盘一般只用于捕捉病毒创建的文件及访问的注册表，而不适宜作为手工杀毒的演练环境。
如果只在沙盘中运行，这个考验将失去意义。－－－－by 轩辕小聪
。 


这里提供给你一个练习手工杀毒的实际操作机会。

附件中的样本是个病毒下载器，无文件感染行为。附件无密码，解压运行即可。

建议：在虚拟机或影子系统中运行此样本（此下载器及其下载的病毒不能穿透影子和虚拟机）。否则，搞出了麻烦，不要怪我没事先提醒。

几点说明：
1、瑞星20.52.20扫此样本，不报毒。但瑞星20.52.20能杀掉其下载的木马。因此，进一步建议：在虚拟机或影子系统中，关闭瑞星所有监控，再运行此样本。
2、样本msnhostin.exe运行后，需访问网络，下载木马。因此，为了得到杀掉其全部木马文件的实践机会，请于连接网络后，再运行此样本，防火墙报警时，请予以放行。
3、目前破坏杀软或其它杀毒辅助工具的病毒比较流行，有鉴于此，建议：不用任何杀软及辅助杀毒工具，就用你的双手/大脑以及WINDOWS XP专业版提供的系统程序搞掂此毒。
4、下载的病毒文件名为随机文件名，且每次都有变化。下载的病毒有插入winlogon.exe和explorer.exe进程的行为（这是“精彩之处”。若不注意在联网状态下边操作边观察，你有可能玩儿不到这“精彩之处”）。这是这个样本的重点。请不要用任何工具阻止病毒的进程插入行为。这样，如果你能搞掂它，才会有所收获。今后，遇到废掉杀软和辅助杀毒工具的这类非感染型病毒时，你自己也可以动手搞掂它。
5、运行此样本前，务必要对WINDOWS XP系统有一个基本的了解。否则，你还是要回头求助杀软或辅助杀毒工具，才能搞掂此毒。
6、关于“辅助杀毒工具”的说明：306安全助手、winindows清理助手、卡卡上网安全助手等均属于“辅助杀毒工具”（运行这些工具有可能帮你灭掉部分病毒），如果你想提高手工杀毒能力，请不要用此类工具做这次练习；SRENG、Icesword、autoruns等属于“手工杀毒工具”（运行这些工具，工具本身不会自动帮你灭掉任何病毒），此次练习可以使用。如果这些工具你也不用，就能搞掂此毒及其下载的病毒，那你的手工杀毒水平已经比较高了。

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

附件: msnhostin.rar

欢迎瑞星实习生们接受这个挑战，这是一个难得的机会，不要错过！

对手工杀毒不熟悉的朋友，请量力而行，这里提醒一下:default7:

用沙盘可以吗  会不会穿透

从未玩儿过沙盘。

这个病毒有个有意思的地方，恕我卖个关子－－－先不说。
如果你能玩儿出这个“有趣之处”来，相信也是一种收获（经验就是这样渐渐积累的）。

如果您接受BAOHE的挑战并成功清除该木马下载器释放的病毒，请跟帖并将杀毒步骤和心得写出来，让更多的实习生受益，谢谢……:default5:

简单运行了一下  确实是下载器  由于沙盘的防护能力相对比较的弱    截了图  也可以通过查看注册表的变化
由于调用rpc功能 sreng自动修复  失去了分析的目的 有一部分 截图 对大家有帮助。没有进行静态扫描  谁在虚拟机下有日志可以发上来 可以帮助分析

附件: 1.rar

附件: 2.rar

先占楼再编辑

想学习，下载了可解压提示CRC错误？不能解压？是怎么回事？

:请不要用任何工具阻止病毒的进程插入行为。


水平太低，两个小时过去了还没有弄好。。插入进程。有个隐藏进程。不创立服务驱动。

另，VM里可以连接网络，却没有下载其它木马，是不是我网速慢的要死?

明天再弄吧，弄不好就等待高手解答，学习下。。:kaka4: :kaka4: :kaka4:

样本已拿下!!!!!!!!!!

这个不能在沙盘中测试。

因为病毒文件下载在沙盘指定的文件夹里。

不是在系统正确的目录里。

体会不到真正的手工杀毒过程。

这个提议非常不错呀。
不过话有说回来了，手工查杀病毒有几个不用工具去解决的。不用工具能用微软自带的系统工具去解决病毒那肯定是个牛比的人物，
要想学会系统自事的工具去搞定病毒，可能要熟悉策略设置。

这个毒，用系统自身的，应该比使用工具更简单点吧。

因为学习系统自身的，比学别的要塌实点吧。

因为毕竟是自己的东西。

下载别的工具，运行时总是心里忐忑不安的:default6:

沙盘下运行是体现不到木马群的真正实力的：
1. 沙盘下不能安装服务和驱动
2. 沙盘下的进程难以对沙盘外的其他进程进行操作，因此插入进程行为会被阻止，违背了考验前提。
3. 沙盘关闭后，病毒不再运行，体现不出病毒常驻内存对杀毒造成的困难。
沙盘下大量的API和SSDT被HOOK，相当于屏蔽掉了病毒的很多动作。

因此，沙盘一般只用于捕捉病毒创建的文件及访问的注册表，而不适宜作为手工杀毒的演练环境。
如果只在沙盘中运行，这个考验将失去意义。

运行环境：VMware Workstation虚拟机，XP SP3
运行了msnhostin.exe后，msconfig后看到一个启动项msnhostin.exe，用Icesword查看到一个进程msnhostin.exe，根据指向用Icesword强制删除msnhostin.exe，Icesword进程结束它，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除掉MSN Host，C:\WINDOWS\system32\drivers\etc\hosts用记事本打开后，清除了一下里面生成的网页指向，就发现这些，还望多指教指教:default3:

另外，用SRENG扫描了个日志就发现这一个问题:default21:

:kaka4: :default2: :default2: :kaka4: :kaka4: 政府，你昨天就像你那样弄的，结果弄不成。。。不等重启就又出来了都。。。

:default2: :default2: 用系统自带的工具就更不知道怎么弄了，网上搜了半天也没弄好。:default2: :default2:

:default2: 游戏迷大哥哇，还给我加分，让你失望了:kaka4:

你实机运行样本了？

啊，BAOHE版主，我是在VM里运行的，不是在实机下。。

没有装虚拟机  装的话可以作出分析报告  有谁上传日志 可以借鉴分析

我的结果跟政府的一样～～～

有点不一样的是：用ICE删时，删不了，会再生成msnhostin，原来system32下还有个XXX～～

之后都是一样的。

太简单了，有没难点的病毒？我电脑不怕坏～～～:kaka17:

:default3: 附上删除重启后扫描的日志:default24:

附件: SREngLOG.log

大哥些  什么叫沙盘哦？

winlogon.exe和Explorer.EXE两个进程是干净的。未见病毒加载项。应该是弄净了。或者是运行样本后不久就断网了。因此没那么多难以收拾的病毒文件。

政府的日志看不出什么了。

关键是这东西连网下载的应该很多病毒的。

代表性的软件：sandboxie

官网：http://www.sandboxie.com/

支持简体中文的最新版下载：http://www.sandboxie.com/SandboxieInstall.exe

或者：http://www.sandboxie.com/index.php?DownloadSandboxie

我技术太次，还是好好学习一下再动手吧

22楼的日志已经正常了  染毒测试那份sreng报告可以上传上来吗  借鉴分析一下

完全新手啊!

我得先去好好补习了.  谁能帮帮我?  请问 沙盘 是什么?