瑞星卡卡安全论坛

:kaka1:

又一新玩意

还第一次见的呢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件: 重要文件[1]..rar

您提供的样本已经收集，感谢您的支持！

用CA HIPS，两条规则，将其搞掂！:kaka12:

设置好CA HIPS的规则后运行此毒：

 附件: 您所在的用户组无法下载或查看附件

点击报错对话框中的确定：

 附件: 您所在的用户组无法下载或查看附件

CA HIPS？
英文版？我只玩中文版？
毛豆直接检测病毒了，也不用设置规则，这个就是方便，只是重要文件.EXE没有检测出来哦，不知道放行后是什么效果
猫鼠关了HIPS再运行下？我知道你们不怕毒的~~~~
好奇

现在是在WIN7环境。等到下午，我在本本上搞。本本是XP系统。但本本现不在手头。:kaka12:

Win 7下的CA HIPS:kaka15:

用的就是你提供的那个VISTA版CA HIPS。
安装时，稍微费点儿劲。但还是能安装、运行的。目前，在WIN7下只观察到这个版本的CA HIPS有一些小毛病（不影响实际防护效果）。

:kaka2:小毛病..？

Important.FILES.EXE运行后释放文件：

%windows%\system\smss.exe。文件大小：52k；MD5值：bf12c75b5293dbef75382f655ba50d6f。这个smss.exe与原样本完全相同。

病毒进程自动结束。

那个smss.exe可直接删除。

 附件: 您所在的用户组无法下载或查看附件

这是它添加的注册表服务项（图）。这个服务项的显示及描述内容很搞笑：
NTService  For the security of Windows NT servies.（译文：保障WINDOWS NT安全的服务。） 

An important System service, If it was terminated, Windows would be Collapsed.（译文：此乃重要系统服务。若结束此服务，windows就会崩溃。）
连蒙带骗啊:kaka6:



 附件: 您所在的用户组无法下载或查看附件

访问网络的动作都没有（看来只是个普通的后门）：



 附件: 您所在的用户组无法下载或查看附件


附上这个smss.exe（无密码）：


 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
猫叔~~~~~那个SMSS.EXE
汗死，刚解压就报了，是不是设置的太灵敏了我

不知你的目的是啥。

如果检验安全工具的效能，这个结果你应该满意了。
如果要观察病毒行为，应关闭安全软件。

呵呵，想玩玩，但是不敢关闭安全软件
检验的话是不错了，就是不敢玩，没虚拟机

o ，我这里这个病毒很猖獗，试试看，看能不能解决