瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 此毒好阴损!!!(最好高手来分析下此毒的动作)
SpeW - 2009-2-4 14:43:00
不过好像我记得是挂了全局钩子 系统动作有拦截 相关程序是svchost
SpeW - 2009-2-4 14:44:00


引用:
原帖由 天月来了 于 2009-2-4 14:42:00 发表
和很早就有没什么关系

而是任何安全软件不能将和正常软件行为一样的程序行为都拿来提示

那样用户会气死的

这付费的软件和免费的360类软件不一样

360类软件疯狂提示正常行为,用户也急不出什么名堂的

但是瑞星软件如果默认提示这类正常软件可能也有的程序行为的话

那就死定了



呵呵:default6: ........      瑞星也提示了哦:default15:  说是services创建注册表项
天月来了 - 2009-2-4 14:45:00
你设置杀毒软件监控svchost.exe的启动试试

看什么东西要再启动一个svchost.exe的进程
newcenturymoon - 2009-2-4 14:46:00


引用:
原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因了

因为过程就是由services.exe完成的

所以瑞星杀毒软件是难以判断的

因为它默认白名单那里是自动放过签名程序的

而系统的东西它都是默认可以做事的

所以你靠瑞星的监控自然......

不是那么回事
我说的意思是 ”创建服务“ 本身就是由services.exe做的  这不是病毒为了躲避杀软而调用services.exe 而是创建服务时候正常的动作!
由于 系统加固 默认根本没有监控创建服务的行为

勾选上  系统加固中的 ”服务“就可以监控到了
这也不是什么签名程序的问题  ~~~~
SpeW - 2009-2-4 14:48:00


引用:
原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表


引用:
原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因了

因为过程就是由services.exe完成的

所以瑞星杀毒软件是难以判断的

因为它默认白名单那里是自动放过签名程序的

而系统的东西它都是默认可以做事的

所以你靠瑞星的监控自然......

不是那么回事
我说的意思是 ”创


正因为如此 我才觉得木马编辑器出漏洞了  这个动作监控不到
天月来了 - 2009-2-4 14:50:00
还是我一直说的

瑞星默认的东西就是为了防止对正常软件行为也提示,才默认不监控那里

你如果改成默认和卡巴以及360那样,见一个提示一个,或者默认就是系统加固那最高,就全提示了:default3:
newcenturymoon - 2009-2-4 14:50:00


引用:
原帖由 SpeW 于 2009-2-4 14:43:00 发表
不过好像我记得是挂了全局钩子 系统动作有拦截 相关程序是svchost

因为他调用的就是SetWindowsHookEx
dwThreadId
那个参数为0时  就是挂全局钩子
所以 理论上  木马行为编辑器 的  设置窗口挂钩  也能监控到
SpeW - 2009-2-4 14:52:00


引用:
原帖由 天月来了 于 2009-2-4 14:45:00 发表
你设置杀毒软件监控svchost.exe的启动试试

看什么东西要再启动一个svchost.exe的进程


知道是谁了 srevice启动了svchost  难到编辑器里编辑后门启动svchost对services是无效的?
newcenturymoon - 2009-2-4 14:54:00


引用:
原帖由 SpeW 于 2009-2-4 14:48:00 发表
[quote] 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表
[quote] 原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因了

因为过程就是由services.exe完成的

所以瑞星杀毒软件是难以判断的

因为它默认白名单那里是自动放过签名程序的

而系统的东西它


什么漏洞????
天月来了 - 2009-2-4 14:56:00
这你得问阳光自己了

:default6:

我还没玩过那个编辑器

你是不是还没点击“将记录用于木马行为防御”??:default6:
SpeW - 2009-2-4 14:56:00
这个我已经去学习了一反了  iHook为某某的是后就是键盘或者消息什么的  对吧:default6: ?
SpeW - 2009-2-4 14:57:00


引用:
原帖由 newcenturymoon 于 2009-2-4 14:54:00 发表
[quote] 原帖由 SpeW 于 2009-2-4 14:48:00 发表
[quote] 原帖由 newcenturymoon 于 2009-2-4 14:46:00 发表
[quote] 原帖由 天月来了 于 2009-2-4 14:29:00 发表
看了阳光的

就知道原因......



那个注册表的改动监控不到  不是ms.exe做的
SpeW - 2009-2-4 14:59:00


引用:
原帖由 天月来了 于 2009-2-4 14:56:00 发表
这你得问阳光自己了

:default6:

我还没玩过那个编辑器

你是不是还没点击“将记录用于木马行为防御”??:default6: 


不用这么小看我吧:default3:
newcenturymoon - 2009-2-4 15:04:00
idHook 就是 编辑器里面的 钩子类型对应的选项
SpeW - 2009-2-4 15:07:00
知道是谁了 srevice启动了svchost  难到编辑器里编辑后门启动svchost对services是无效的?
注册表改动不是ms.exe做的监控不到(编辑器漏洞)

这两个问题回答下吧
rstgl - 2009-2-4 15:18:00
没看出这个病毒和其他病毒有太多的区别,都是创建服务,挂钩子,往SYSTEM32里创建文件。只要管理好SYSTEM32和注册表服务项,它就掀不起多大风浪。在系统加固里勾选系统目录和服务提示,大部分病毒都能报警。唯一难解决的是下载程序安装包带毒。要是每一个提示都看清楚再选择放行还是拒绝估计没有几个人受得了。这谈不上是瑞星的不是,任何HIPS都难以解决下载程序包带毒。只有在知名大网站下载,用杀软扫描(防不了未知病毒)。要解决下载程序带毒看来只有用虚拟机或者沙盘了。
SpeW - 2009-2-4 15:21:00


引用:
原帖由 rstgl 于 2009-2-4 15:18:00 发表
没看出这个病毒和其他病毒有太多的区别,都是创建服务,挂钩子,往SYSTEM32里创建文件。只要管理好SYSTEM32和注册表服务项,它就掀不起多大风浪。在系统加固里勾选系统目录和服务提示,大部分病毒都能报警。唯一难解决的是下载程序安装包带毒。要是每一个提示都看清楚再选择放行还是拒绝估计没有几个人受得了。这谈不上是瑞星的不是,任何HIPS都难以解决下载程序包带毒。只有在知名大网站下载,用杀软扫描(防


你那个问题绝大部分都是用外挂用出毒来的:default6:    很多人就这样没办法 明知道有毒就要用
天月来了 - 2009-2-4 15:31:00


我反正还是没折腾出木马行为防御的个人自定义操作

实在吃不消
rstgl - 2009-2-4 15:35:00
任何程序包括病毒创建服务都是调用SERVICES。所以你看到瑞星提示SERVICES创建服务时就应该警觉。除非你此时在安装信得过的程序否则应该选择拒绝。我知道你是希望瑞星能明确告诉你是谁调用SERVICES注册服务,但这是瑞星做不到的。瑞星的服务还是SERVICES加载的呢。下级能监控上级吗?不信你在应用程序控制里添加SERVICES被启动提示或者放过看看是什么程序启动了SERVICES。能看到吗?看不到。无法监控是什么程序启动SERVICES。
SpeW - 2009-2-4 15:36:00


引用:
原帖由 天月来了 于 2009-2-4 15:31:00 发表


我反正还是没折腾出木马行为防御的个人自定义操作

实在吃不消


http://bbs.ikaka.com/showtopic-8559804.aspx 看看这篇帖做参考
其实没什么就是知道病毒会做什么动作,然后照葫芦画瓢,把动作编成规则就行了

http://bbs.ikaka.com/showtopic-8591420.aspx这是我编的规则 你也可以参考一下
SpeW - 2009-2-4 15:38:00


引用:
原帖由 rstgl 于 2009-2-4 15:35:00 发表
任何程序包括病毒创建服务都是调用SERVICES。所以你看到瑞星提示SERVICES创建服务时就应该警觉。除非你此时在安装信得过的程序否则应该选择拒绝。我知道你是希望瑞星能明确告诉你是谁调用SERVICES注册服务,但这是瑞星做不到的。瑞星的服务还是SERVICES加载的呢。下级能监控上级吗?不信你在应用程序控制里添加SERVICES被启动提示或者放过看看是什么程序启动了SERVICES。能看到吗


此毒微 点 能截获 不知道是为什么
天月来了 - 2009-2-4 15:46:00
你这问题最难回答

呵呵!!!

至少那点点是专业级的程序行为监控

它内置的行为特征库不是别人说做就彻底做的一样的效果的。

并且它还支持行为特征库的升级。
SpeW - 2009-2-4 15:51:00


引用:
原帖由 天月来了 于 2009-2-4 15:46:00 发表
你这问题最难回答

呵呵!!!

至少那点点是专业级的程序行为监控

它内置的行为特征库不是别人说做就彻底做的一样的效果的。

并且它还支持行为特征库的升级。


确实:default3:  瑞星木马行为拦截一出来我就不怎么看好它  就和08的恶意行为检测一个样 没啥子用的
而且行为库不更新  就给个编辑器出来意思意思  那东西不是一般人能用的  我现在也用着累  这不?被这个病毒给雷倒了,编不出规则拦截它,除非用那条变态规则-----可疑病毒6(虽然BT但不保证误报的)
newcenturymoon - 2009-2-4 15:57:00
以后会出一些 相关的普及性工具的 让大家都能编规则~~
rstgl - 2009-2-4 15:59:00
自07年三月中过熊猫烧香和威金蠕虫后我就很少中毒了,最近的一次中毒似乎是07年12月利用REAL漏洞的病毒。为什么很少中毒呢?因为以前没有打任何补丁,熊猫之后,试着打补丁,发现没什么事,什么正版验证,只要不打那两个补丁就行了。打全了补丁上网就很难中毒了。即使没有打任何补丁前,我中毒主要也是因为安装程序的原因。因为平常用USER帐户上网,受害程度也不大。我安装程序一般用POWER USER,权限大,受害程度也大。现在我只在知名大网站下载程序,而且我的软件限制策略制定的非常严格。我现在是难得有中毒的机会。用POWERUSER可以安装绝大多数的程序,即使程序带毒,病毒也安装不了驱动,进不了RING0能干的坏事也有限。
newcenturymoon - 2009-2-4 16:01:00
因为  微  点  有白名单库 正是这个库 才能保证他的行为 不误报的 这个白名单库也是实时升级的 瑞星没有这样的库  所以 行为不能做的这么严格
不同的发展方向
瑞星现在侧重于 不让病毒进入电脑
SpeW - 2009-2-4 16:05:00


引用:
原帖由 newcenturymoon 于 2009-2-4 16:01:00 发表
因为  微  点  有白名单库 正是这个库 才能保证他的行为 不误报的 这个白名单库也是实时升级的 瑞星没有这样的库  所以 行为不能做的这么严格
不同的发展方向
瑞星现在侧重于 不让病毒进入电脑


我知道瑞星放挂马方面下了功夫的 但是我想说  瑞星可能还没搞清楚状况  很多人是下载的时候中的  尤其是外挂另外就是在不知名的网站下载了不安全的软件 我敢说来这论坛求助的估计绝大部分不是浏览网页中的毒  09防挂马确实强悍的 基本不会中毒的
天月来了 - 2009-2-4 16:06:00
没关系,一点一点来

以后再增加对于下载导致的。:default7:
纳兰狂客 - 2009-2-4 16:08:00
C:\WINDOWS.0\SYSTEM32\TZXHUH.DLL 注入svchost?
newcenturymoon - 2009-2-4 16:16:00


引用:
原帖由 SpeW 于 2009-2-4 16:05:00 发表
[quote] 原帖由 newcenturymoon 于 2009-2-4 16:01:00 发表
因为  微  点  有白名单库 正是这个库 才能保证他的行为 不误报的 这个白名单库也是实时升级的 瑞星没有这样的库  所以 行为不能做的这么严格
不......

正是由于搞清楚了状况 才首先把防挂马给弄上了 网马和U盘是最主要的病毒传播方式
由于长期宣传的作用 目前绝大多数 网友已经知道了 要从正规网站下载 且下载后需要杀毒 这样的 常识
最近那些通过下载软件中毒 的 倒有一部分是因为去某些不太健康的网站  下的
有些网站的视频 需要一个叫Qvod的播放器
最近发现很多这个播放器被捆绑了木马
123
查看完整版本: 此毒好阴损!!!(最好高手来分析下此毒的动作)
© 2000 - 2025 Rising Corp. Ltd.