AV终结的新变种???

123

还真有病毒啊！myplayer和pagefile我已经领教过了，另两个没见过，过会试试。

chinazswa

小老鼠提供的巡洋舰，看来不行啊。:em15

lintel

驱逐舰确实已经被杀...但是并不是只有驱逐舰...咔吧也是....

123

原理应该是映像劫持，删除注册表就搞定了

lintel

运行后在每一个盘下生成pnxxupm.exe和AUTORUN.INF同时会尝试删除免疫...在%program files%\System下生成pnxxupm.exe和xmjisnw.exe,在%program files%\Microsoft Shared生成xibgptd.exe其中xmjisnw.exe是一个程序下载器...会自动下载木马和流氓插件...但是它不会感染EXE文件,估计是写病毒的人没有太高的能力:lol ,123姐姐说的对,是用了映像劫持,驱逐舰没有被劫持，挟持了360安全卫士和咔吧几乎所有的杀毒和安全工具。不过他的新思路值得大家学习:lol 就是它会检查是什么程序对它进行拦截,同时结束该程序:lol

[ 本帖最后由 lintel 于 2007-8-10 02:47 PM 编辑 ]

lintel

已经搞定病毒

lintel

记得先把:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下面的所有的子项删除干净...不然你打开杀毒软件就等于打开了病毒:lol

123

原帖由 lintel 于 2007-8-10 14:23 发表
运行后在每一个盘下生成pnxxupm.exe和AUTORUN.INF同时会尝试删除免疫...在%program files%\System下生成pnxxupm.exe和xmjisnw.exe,在%program files%\Microsoft Shared生成xibgptd.exe其中xmjisnw.exe是一个程序 ...

如果他能检测拦截他的程序那就太奇怪了，一般如果被拦截的话程序是处于暂停状态的，即使他使用多线程也只能发现调用一个函数的时间变长了。而且拦截往往是通过注入DLL的方法，拦截程序是在那个注入的DLL里的，如果他要结束肯定会把自己结束掉，除非他会DLL反注入。

lintel

原帖由 123 于 2007-8-10 02:57 PM 发表

如果他能检测拦截他的程序那就太奇怪了，一般如果被拦截的话程序是处于暂停状态的，即使他使用多线程也只能发现调用一个函数的时间变长了。而且拦截往往是通过注入DLL的方法，拦截程序是在那个注入的DLL里的， ...

不,他生成了一个普通进程,为:  随机的字符.TMP 进行检查.而这个东西是独立的,用来检查主程序是否被拦截....

123

原帖由 lintel 于 2007-8-10 15:01 发表

不,他生成了一个普通进程,为:  随机的字符.TMP 进行检查.而这个东西是独立的,用来检查主程序是否被拦截....

你怎么确定他是用来检查主程序是否被拦截的？

lintel

原帖由 123 于 2007-8-10 03:04 PM 发表

你怎么确定他是用来检查主程序是否被拦截的？

基本可以确定,因为驱逐舰的主程序在拦截后被关闭...

具体也只是普通的判断,错误也是难免的.因为其他的工具都不能开,我是用安全盾看的....

lintel

奇怪的是他能用映像劫持,为什么不做线程插入呢...奇怪...还有,它并没有禁用注册表...

123

原帖由 lintel 于 2007-8-10 15:07 发表


基本可以确定,因为驱逐舰的主程序在拦截后被关闭...

具体也只是普通的判断,错误也是难免的.因为其他的工具都不能开,我是用安全盾看的....

不止是拦截他的程序会关闭吧？驱逐舰拦截别的程序不关闭吗？我觉得应该是检查是否存在那个拦截窗口。

123

原帖由 lintel 于 2007-8-10 15:08 发表
奇怪的是他能用映像劫持,为什么不做线程插入呢...奇怪...还有,它并没有禁用注册表...

你知道什么叫做线程插入吗？映像劫持跟线程插入的难度是一个档次的？

lintel

原帖由 123 于 2007-8-10 03:11 PM 发表

不止是拦截他的程序会关闭吧？驱逐舰拦截别的程序不关闭吗？我觉得应该是检查是否存在那个拦截窗口。

估计这个也是有可能吧...

如果能够反编译就简单多了,我是在脱壳的时候中的...:L

lintel

原帖由 123 于 2007-8-10 03:12 PM 发表

你知道什么叫做线程插入吗？映像劫持跟线程插入的难度是一个档次的？

知道,但是如果真的能够做到,那么线程插入也是不难的...就和你说的一样...

123

原帖由 lintel 于 2007-8-10 15:14 发表


知道,但是如果真的能够做到,那么线程插入也是不难的...就和你说的一样...

映像劫持仅仅是改注册表，线程插入我只会用网上现成的代码，那代码用了两个DLL，一个EXE，DLL里还用了汇编，你觉得难度怎么样？

lintel

原帖由 123 于 2007-8-10 03:17 PM 发表

映像劫持仅仅是改注册表，线程插入我只会用网上现成的代码，那代码用了两个DLL，一个EXE，DLL里还用了汇编，你觉得难度怎么样？

:lol 自己写嘛....看过<windows核心编程>这本书你就知道了

123

原帖由 lintel 于 2007-8-10 15:19 发表

:lol 自己写嘛....看过这本书你就知道了

看过有什么用？看书只能通过笔试，要自己写代码根本写不出来。

lintel

原帖由 123 于 2007-8-10 03:28 PM 发表

看过有什么用？看书只能通过笔试，要自己写代码根本写不出来。

我相信１２３姐姐的能力:P

lintel

原帖由 pandorak 于 2007-8-10 07:25 PM 发表
不过..........病毒打包后用没升级的巡洋舰可以查到.........但升级后的巡洋舰却没有什么反映........??
RPWT??

这个是没有问题的,以为可能已经被挟持了

lintel

但是为什么我可以查出来?

magical_li

老鼠好强啊……………………
还有123jj…………

啥时候教教我？？？
还有，
、老p呀………………强人要叫jj不是mm………………

紫狐

原帖由 pandorak 于 2007-8-10 01:45 PM 发表
很是奇怪............没升级的巡洋舰能识别出是病毒.......升完级的却一个都检测不到.........:L :L

估计是加了密码的缘故。