baohe - 2010-10-5 21:35:00
关于此毒的初步观察已经在下面这个帖子中说过了:
http://bbs.ikaka.com/showtopic-8800040.aspx
RIS2011虽然已经报这个样本setup17.exe为病毒,但关闭瑞星文件监控运行此毒,在中毒环境(WIN7)中RIS2011则完全查不到它。
这个毒的隐蔽性相当不错,在国外已很流行,且新变种还在不断出现。国外BBS上的求助者甚多,尤其以中TDL3/TDL4 者最为苦恼(很难收拾)。
看了他们的讨论,多数人认为下图的这个改变对杀软商构成挑战:
杀净病毒后,这个被病毒“偷走”的\Device\Harddisk0\DR0恢复正常。
中此毒后,用WIN7的资源监视器查看spoolsv.exe进程关联的句柄,也能发现中毒后的蛛丝马迹:
杀净病毒后spoolsv.exe进程关联的句柄恢复正常:
手工杀净病毒后(系统已经手工完全清理干净),此时此病毒驱动在WIN7下已经可见且可手动删除。但用RIS2011扫特意保留下来的这两个病毒驱动,居然不报毒:
怀疑是我的病毒库比较旧,但升级RIS2011的病毒库时让人一头雾水:
这个毒的预防比较简单,将C:\Windows\System32\spool\prtprocs\w32x86 文件夹的权限设置成下图这个样子即可:
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51
http://bbs.ikaka.com/showtopic-8800040.aspx
RIS2011虽然已经报这个样本setup17.exe为病毒,但关闭瑞星文件监控运行此毒,在中毒环境(WIN7)中RIS2011则完全查不到它。
这个毒的隐蔽性相当不错,在国外已很流行,且新变种还在不断出现。国外BBS上的求助者甚多,尤其以中TDL3/TDL4 者最为苦恼(很难收拾)。
看了他们的讨论,多数人认为下图的这个改变对杀软商构成挑战:
杀净病毒后,这个被病毒“偷走”的\Device\Harddisk0\DR0恢复正常。
中此毒后,用WIN7的资源监视器查看spoolsv.exe进程关联的句柄,也能发现中毒后的蛛丝马迹:
杀净病毒后spoolsv.exe进程关联的句柄恢复正常:
手工杀净病毒后(系统已经手工完全清理干净),此时此病毒驱动在WIN7下已经可见且可手动删除。但用RIS2011扫特意保留下来的这两个病毒驱动,居然不报毒:
怀疑是我的病毒库比较旧,但升级RIS2011的病毒库时让人一头雾水:
这个毒的预防比较简单,将C:\Windows\System32\spool\prtprocs\w32x86 文件夹的权限设置成下图这个样子即可:
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.22 Version/10.51