北京大学论坛

 找回密码
 注册(开放注册)
搜索
查看: 1429|回复: 1

[IT资讯] 未知病毒实践测试

[复制链接]
发表于 2008-12-22 19:56:03 | 显示全部楼层 |阅读模式
kv2008未知病毒实践测试
今天才注意到的一个,好象很N,据说一运行就结束微点、卡巴和瑞星的进程,所以就优先试试咯(样本同样来自卡饭,测试完成后上卡饭瞧了瞧,看见有人在跟帖中好象是用专业的HIPS记录了该毒的行为,基本符合。还有个网友用KV的BOOTSCAN杀了,看来KV都认识?,早知道不费这个劲了,就当KV一个都不认识吧,呵呵),先来认识一下,就是这个N人,运行完成任务后会自杀:

果然,一运行,任务栏的红K马上不见了,同时发现无法显示隐藏的系统文件了,但可以显示隐藏的文件夹,用来迷惑新手还是可以的~~~~


无法杀毒,也看不见病毒文件,你也许会想起第三方工具了,但平时喜欢出风头混个脸熟的家伙象冰刃、SRENG现在保证昏迷中。。。。看看进程里kvsrvxp.exe还在不在,只要kvsrvxp.exe在,KV就没死,只要KV没死,呵呵,不就是外壳没了吗?剑还在就行.进入KV的安装文件夹,运行KVMonXP.kxp启动KV任务栏图标,刚恢复即被病毒结束。再试运行kvxp.kxp,出现

这个KV的帮助文档一闪而过,接着出现kvxp.kxp遇到问题需要关闭的提示,也是一闪而过。 意料之中,接着依次找到并运行KvpViewer.exe(进程查看)、kvdetect.exe(未知扫描)、KVSysCheck.exe(系统诊断)、KVIETools.exe(安全助手)。如果你原来没有开启BOOTSCAN,那么还可以找到并运行SetupLd.exe(设置)~~扫描结果如下

注意,LSASS。EXE和SMSS。EXE的用户名不是SYSTEM,是病毒创建的,那个IE的进程也是病毒启动的,而且如果用KV安全助手还可以扫出这个IE进程的命令行,指向http://w.c0mo.com/r.htm      发现这个了,还不断网?这是常识,先断网再杀毒。

未知扫描出来后你也可以暂时不去清除,但一定记得先把扫出来的东西确认是毒的加入样本库(很重要)
[url=http://bbs.jiangmin.com/UploadFile/2007-12/200712221175519.jpg[/img]http://bbs.jiangmin.com/UploadFile/2007-12/200712221175519.jpg[/img[/url]]
病毒删除了所有启动项。。。


还有个比较流行的东西

接下来就好办了,先结束病毒进程,在进程查看里点选“结束进程并加入黑名单”,有趣的事情出现了,病毒和KV出现了创建和阻止的拉锯,拉锯中KV生气的把新创建的病毒进程的危险度从97%提高到了100%,我帮了KV一把,用系统诊断把病毒的隐藏文件删掉了(不帮的话KV最后好象也能赢)。

结束病毒进程后,进入KV的文件夹运行KVMonXP.kxp,熟悉的任务栏红K又回来了,剩下的就是简单劳动了,未知扫描,加入样本库,结束进程,扫描样本库,杀样本,系统诊断,进程、服务、驱动、隐藏文件和注册表扫描、安全助手扫描等等等,最好重复检查一下,特别是未知扫描和隐藏文件扫描,多扫几次,因为有时删掉部分病毒文件后才扫的出另一部分。
最后说明一下,这是个文件感染型的病毒,感染后程序图标会变色,被感染的程序基本都是安全类的小工具,还有压缩工具和一部分需要连网的程序,幸好感染的不是系统文件。KV无法修复这次病毒对隐藏系统文件的选项的修改(好象是修改了访问权限?),需要平时的注册表备份,你备份了吗?
KV的自我保护还是很强的,但希望KV的工程师能分析一下病毒结束KV的手段,在自我保护或主动防御上再进一步。病毒删除了KV的启动项,我这次没用自定义规则,所以不知针对此项自定义是否有效。看卡饭里的报告,有写入"启动"文件夹的动作,但我测试时没有,才想起我系统监控里唯一保留的自定义规则就是禁止写入"启动"文件夹,本意是用来对付某些不自觉的正常软件的,因为病毒用这个是比较弱智的。结果小人没来,小偷到来了。看来这个自定义规则还是有效的,其他的不知如何。。。。另外,KV的服务器模式和严厉模式对付此毒无效,因为一开始就。。。。。。
发表于 2009-5-11 17:11:28 | 显示全部楼层
~~顶帖有礼~~
您需要登录后才可以回帖 登录 | 注册(开放注册)

本版积分规则

手机访问本页请
扫描左边二维码
         本网站声明
本网站所有内容为网友上传,若存在版权问题或是相关责任请联系站长!
站长联系QQ:7123767   myubbs.com
         站长微信:7123767
请扫描右边二维码
www.myubbs.com

小黑屋|Archiver|北京大学论坛 ( 琼ICP备10001196号-2 )

GMT+8, 2024-3-29 18:38 , Processed in 0.075312 second(s), 15 queries .

Powered by 高考信息网 X3.3

© 2001-2013 大学排名

快速回复 返回顶部 返回列表