新版MSDOS.EXE bbs.ikaka.com

baohe - 2008-7-24 16:23:00

http://bbs.ikaka.com/showtopic-8525793.aspx
此样本与上面帖子中提到的那个MSDOS.EXE的MD5值不同。行为一样。瑞星20.54.22不报。请入库。

解压密码：123

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

附件: MSDOS.rar

两个铁球 - 2008-7-24 17:16:00

这回卡巴也没反应。

两个铁球 - 2008-7-24 22:27:00

这是个有点狠的病毒，卡巴至今不报。不知瑞星的反应如何？卡巴不但没反应，而且，在我的系统上刚一运行，以为是森严壁垒的卡巴就全面挂掉了！有其它安软的交叉保护，还留了个查杀模块能工作；Tiny的ActivetityMonitor要不是SSM护着也垮了。后来发现SSM虽然表面还是那样绿，但后来发现原以破解的可以长期免费使用的也变成了试用期已过的东东，虽然在其监视下的运行，每一步都点了“拒绝”，但这个病毒要写得文件、注册表还是都被写了。最让人烦恼的是经营了这许久，本可免费用数十年、升级非常爽的卡巴套装（KIS6）居然又被打入了黑名单，鼓捣了这一个下午和晚上才恢复！:default15: :default15:

baohe - 2008-7-24 22:37:00

引用:

原帖由 两个铁球 于 2008-7-24 22:27:00 发表
这是个有点狠的病毒，卡巴至今不报。不知瑞星的反应如何？卡巴不但没反应，而且，在我的系统上刚一运行，以为是森严壁垒的卡巴就全面挂掉了！有其它安软的交叉保护，还留了个查杀模块能工作；Tiny的ActivetityMonitor要不是SSM护着也垮了。后来发现SSM虽然表面还是那样绿，但后来发现原以破解的可以长期免费使用的也变成了试用期已过的东东，虽然在其监视下的运行，每一步都点了“拒绝”，但这个病毒要

SSM报过期，原因在于此毒将系统时间改为2004年。

手工杀毒的第一步应该是重启、按F1，在BIOS中将系统时间改回到现在。重启。SSM完好无恙。在SSM的blocked组中添加一条校验和规则（针对MSDOS.EXE的）。重启。此毒完全死掉。
删除下列文件即可：

1、各分区根目录下的autorun.inf和MSDOS.EXE
2、system32目录下的wuauclt1.exe和w1nnet.dll
3、dllcache目录下的wuauclt.exe
4、internet explorer目录下的x.pif(x代表数字）

病毒添加的加载项和IFEO劫持项要一一删除。

两个铁球 - 2008-7-24 22:38:00

附件: 您所在的用户组无法下载或查看附件后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这样就为病毒木马肆意拜访Klif这样重要的驱动大开了方便之门！

baohe - 2008-7-24 22:42:00

引用:

原帖由 两个铁球 于 2008-7-24 22:38:00 发表
后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这烟酒为病毒木马肆意拜访Klif这样重要的驱动大开了方便之门！

此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。

两个铁球 - 2008-7-24 22:46:00

引用:

原帖由 baohe 于 2008-7-24 22:42:00 发表
[quote] 原帖由 两个铁球 于 2008-7-24 22:38:00 发表
后来发现，实际上使用了改系统时间的老办法。SSM在改回系统时间后就恢复如原了。不过感谢这个病毒提了个醒，之所以设了多从多重保护的卡巴居然那么容易就垮了，原来偶的Tiny的“服务保护”及文件保护规则设置有重大漏洞：对tracking组的设置只注意了全是"监视”，没有拒绝，忘了这烟酒为病毒木马肆

没装虚拟机，不敢往下看，确实写了那个beep.sys,还不知这个驱动干啥的呢。

附件: 您所在的用户组无法下载或查看附件

两个铁球 - 2008-7-24 22:59:00

此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。

我的被写过的Beep.sys用TrackingAnlysier的恢复功能没法恢复，怎么办？实机啊。

不过，用tiny的update看，各MD5，包挂beep.sys的并没改变，是否意味着由于tiny的文件保护，和运行时把SSM看到的很多活动都点了“拒绝”的结果，“写”实际没做成？

baohe - 2008-7-24 23:05:00

引用:

原帖由 两个铁球 于 2008-7-24 22:59:00 发表
此毒的要害是改写系统驱动beep.sys，恢复SSDT。SSDT一旦被恢复到原始状态，卡巴、瑞星、Tiny等监控全部失效。SSM则可以抗住（实机测过）。

我的被写过的Beep.sys用TrackingAnlysier的恢复功能没法恢复，怎么办？实机啊。

不过，用tiny的update看，各MD5，包挂beep.sys的并没改变，是否意味着由于tiny的文件保护，和运行时把SSM看

Beep.sys－－－－删除

networkedition - 2008-7-25 9:00:00

猫叔将版主之家的关于tiny的设置文章贴上来吧，大家学习一下:default5:

baohe - 2008-7-25 9:15:00

引用:

原帖由 networkedition 于 2008-7-25 9:00:00 发表
猫叔将版主之家的关于tiny的设置文章贴上来吧，大家学习一下:default5:

HIPS的具体设置，不同的用户之间，差别较大。
别人的设置，很难说有什么参考价值。因为每个人的每条设置都有其自己特定的意图。其他人能否理解其设置意图？很难说。因此，参考或套用别人的设置，可能给自己带来一些莫明其妙的麻烦。

HIPS，必须自己使用。在使用过程中逐渐理解。

两个铁球 - 2008-7-25 12:16:00

引用:

原帖由 baohe 于 2008-7-25 9:15:00 发表

引用:

原帖由 networkedition 于 2008-7-25 9:00:00 发表
猫叔将版主之家的关于tiny的设置文章贴上来吧，大家学习一下:default5:

HIPS的具体设置，不同的用户之间，差别较大。
别人的设置，很难说有什么参考价值。因为每个人的每条设置都有其自己特定的意图。其他人能否理解其设置意图？很难

就是就是！猫版说的才是正解，套用别人的规则，只会常常系统都进不了；有时损失惨重，尤其是Tiny。

两个铁球 - 2008-7-25 12:23:00

奇了！今天最新病毒库的卡巴依然毫无反应，对这个病毒。然而常被大家说成“伪安全厂商”的安全360却能查杀！（图中打勾的几个）
瑞星今天的新毒库能杀了没有？

附件: 您所在的用户组无法下载或查看附件

baohe - 2008-7-25 14:02:00

引用:

原帖由 两个铁球 于 2008-7-25 12:23:00 发表
奇了！今天最新病毒库的卡巴依然毫无反应，对这个病毒。然而常被大家说成“伪安全厂商”的安全360却能查杀！（图中打勾的几个）
瑞星今天的新毒库能杀了没有？

附件: 您所在的用户组无法下载或查看附件

这有啥奇怪的。
每个杀软都不可能及时收录所有病毒。
卡巴斯基也不例外；它并不像被人吹得那么神。卡巴斯基被病毒干掉的事－－－常见。

PS：瑞星20.54.40依然不杀此毒。汗！

瑞星卡卡安全论坛