• :
  • 本人收集了几个杀软厂商对于鬼影的态度。。-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [求助] 本人收集了几个杀软厂商对于鬼影的态度。。

    [复制链接]

    该用户从未签到

    发表于 2010-3-20 08:49:37 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 374126620 于 2010-3-20 09:07 编辑

    一、卡 巴 斯 基提示广大用户不必对“鬼影”病毒恐慌


    对于近期网上流传的 “鬼影”病毒,卡 巴 斯 基实验室表示广大计算机用户不必过于惊慌。因为卡  巴 斯 基在最早截获此病毒样本进行分析后就发现,“鬼影”病毒虽然危害性强,但如果用户计算机上安装了可靠的反病毒软件,不会轻易被感染。
    如很多人所知,此病毒一旦感染计算机,的确可以强行关闭一些常见的安全软件。从病毒体内可以看到以下字符串:

           但是对于具有强大实时监控能力以及启发式分析功能的卡 巴 斯 基 安全软件,“鬼影”病毒却无法突破其层层防御,达到感染计算机的目的。例如下载一个包含此病毒的压缩包文件(已加密),在打开卡 巴 斯 基全功能安全软件2010监控的前提下,我们试图将此病毒解压到桌面,输入密码后试图解压时,卡 巴 斯 基弹出以下提示:

           可以看到,病毒直接被拦截,并且提示病毒名称为:Trojan.Win32.KillAV.fqi ,即为一种可以对抗反病毒软件的恶意程序。卡 巴 斯 基已经从根本上杜绝了此病毒进入用户计算机的可能。

           另外,就算“鬼影”病毒针对卡 巴 斯 基 安全软件做了免杀处理,更改了其特征,仍然无法造成破坏。做过免杀后,病毒虽然可以绕过卡 巴 斯 基的特征检测,却无法逃过卡 巴 斯 基 强大的启发式扫描对其进行拦截。如下图所示:

           对已做过免杀的病毒文件进行扫描,卡 巴 斯 基立刻识别出其释放的rookit恶意程序,从而对其进行了拦截。这是因为卡 巴 斯 基 的启发式引擎可以完美模拟病毒的执行,截获其试图释放的文件。

    所以,卡 巴 斯 基实验室提醒广大卡巴斯基用户不必闻“鬼影”色变。只要您正常开启卡 巴 斯 基 安全软件的实时监控,并且及时升级反病毒特征库,就不会轻易被病毒感染。

    P.S. 如果不幸中招的用户一定要重置MBR再使用卡 巴 进行全盘查杀 。

    二、趋 势 暂时没有发布关于鬼影的消息,不过找到了关于极虎的消息。
    趋 势 科技云安全2.0完胜“极虎” 目前仅收到一例疑似病毒案例 目前,一种名为TROJ_JADTRE “极虎”的病毒正在互联网上肆虐,据其他相关新闻报导,到目前为止被袭击用户电脑超过50万台,并导致大部分安全软件失效。而基于趋 势 科技云安全的保护,截至发稿前,趋 势 科技中国区病毒监测中心仅收到一例来自用户的病毒案例。这也就意味着其他所有的趋 势 科技用户都受到了云安全技术的严密保护,无一受到攻击。
    极虎病毒 VS 趋 势 云安全
    极虎:通过替换系统文件实现病毒主体的自启动
    云安全:只需开启文件信誉技术(FRT)功能,即可阻止“极虎”病毒在本机运行
    极虎:从网上下载文件并运行
    云安全:只需开启网页信誉技术(WRT),即可阻止“极虎”病毒下载其他病毒
    极虎:释放恶意文件,阻止防毒软件运行
    云安全:只需开启文件信誉技术(FRT),即可阻止“极虎”病毒在本机运行
    极虎:利用其他病毒常用的传播方式进行传播:如共享,U盘,修改html文件,对rar压缩包进行操作等
    云安全:只需开启文件信誉技术(FRT),即可阻止“极虎”病毒在本机运行
    极虎:杀毒软件进程关闭
    云安全:如果你拥有趋 势 科技云安全技术,将完全不会遭受此种威胁。
    趋 势 科技云安全2.0的保护模式
    趋 势 科技资深技术顾问张志徐介绍说,极虎病毒是一种典型的木马下载器,它在运行后会主动连到木马网站上进行下载,然后疯狂的下载恶意文件。这样会导致系统变得非常缓慢,以致使用者不能正常工作 而在此次病毒攻击中,趋 势 科技云安全技术成功的战胜了“极虎”病毒。云安全基于云计算强大的数据处理能力,将人工判别风险转变为计算机判别网页和文件的安全等级模式,通过计算网页和文件的信誉等级,可以将Web威胁遏止于网络之外。例如,当一位云安全用户访问一个网页或访问一个文件时,访问请求就被发送到趋 势 科技的“云”数据库中,对该网页或文件的风险级别进行查询,这个过程仅需几十毫秒,让终端用户丝毫察觉不到,只是在访问含到有威胁的网页时会收到提示。 如果用户访问的网页或文件在云端数据库中没有记录,用户会顺利地访问此页面。与此同时,趋 势 科技的2000多部在线服务器就会把网页信息源收集起来,再进行分布式计算,得出网页和文件的信誉等级。这个计算时间最多只需15分钟。此后,第二位访问该网页和文件的云安全用户将会受到云端的保护,从而达到了“让Web世界没有第二位受害者”的成效。Web信誉技术(WRT)和文件信誉技术(FRT)两种云安全功能完美配合,成功抵御了来自“极虎”的猛烈攻击,保证了用户安全无虞。



    三、诺 顿 好像也没有发布任何消息。(如果有网友知道,跟贴)

    四、nod 32 也没有发布任何消息。(如果有网友知道,跟贴)
    使用道具 举报 回复
    微 点太难发了。。
    使用道具 举报 回复 支持 反对
    2# 374126620
    特洛伊木马Trojan.Win32.bootkit.a
    特洛伊木马
    Trojan.Win32.bootkit.a
    捕获时间
    2010-3-18
    危害等级

    病毒症状
       该样本是使用“Microsoft Visual C ”编写的“特洛伊木马程序”,由微   点主动防御软件自动捕获,长度为“329,216”字节,图标为“
    ”,使用“ exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播,病毒主要目的是控制用户机器。
       用户中毒后会出现系统无法启动,操作系统无故弹出错误等现象。
    感染对象
    Windows 2000/Windows XP/Windows 2003/Windows Vista
    传播途径
    网页挂马、文件捆绑、下载器下载
    防范措施
    已安装使用微   点主动防御软件的用户,无须任何设置,微   点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微   点主动防御都能够有效清除该病毒。如果您没有将微   点主动防御软件升级到最新版,微   点主动防御软件在发现该病毒后将报警提示您发现“可疑程序“,请直接选择删除处理(如图1);

    图1 微   点主动防御软件自动捕获未知病毒(未升级)


    如果您已经将微   点主动防御软件升级到最新版本,微   点将报警提示您发现木马"Trojan.Win32.bootkit.a”,请直接选择删除(如图2)。

    图2   微   点主动防御软件升级后截获已知病毒


    未安装微   点主动防御软件的手动解决办法:
    1、手动删除以下文件:
    %SystemDrive%\Stoned\Applications\Forensic Lockdown Software.sys
    %SystemDrive%\Stoned\Applications\Hibernation File Attack.sys
    %SystemDrive%\Stoned\Applications\Sinowal Loader.sys
    %SystemDrive%\Stoned\Applications\Windows.sys
    %SystemDrive%\Stoned\Drivers\Black Hat Europe 2007 Vipin Kumar POC.sys
    %SystemDrive%\Stoned\Drivers\Sinowal Extractor.sys
    %SystemDrive%\Stoned\Drivers\Sinowal.sys
    2、手动恢复MBR被改写的部分为%SystemDrive%\Stoned\Master Boot Record.bak中的内容。
    变量声明:
      %SystemDriver%       系统所在分区,通常为“C:\”
      %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
      %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
      %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
      %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
    病毒分析
    1,尝试打开磁盘驱动器如果失败就退出进程。
    2,释放病毒文件文件:
    %SystemDrive%\Stoned\Applications\Forensic Lockdown Software.sys
    %SystemDrive%\Stoned\Applications\Hibernation File Attack.sys
    %SystemDrive%\Stoned\Applications\Sinowal Loader.sys
    %SystemDrive%\Stoned\Applications\Windows.sys
    %SystemDrive%\Stoned\Drivers\Black Hat Europe 2007 Vipin Kumar POC.sys
    %SystemDrive%\Stoned\Drivers\Sinowal Extractor.sys
    %SystemDrive%\Stoned\Drivers\Sinowal.sys
    创建文件夹:%SystemDrive%\Stoned\Plugins。
    3,读取硬盘原始主引导记录 (MBR),并将MBR备份到%SystemDrive%\Stoned\Master Boot Record.bak
    4,改写用户MBR信息,用自身信息覆盖主引导记录前63个扇区,并将原始MBR第一个扇区复制到新MBR的61扇区中。
    5,用户开机将自动加载病毒文件,改写后MBR病毒加载运行后将加载病毒目录下的病毒文件运行,完全控制用户机器
      
    病毒创建文件:
    %SystemDrive%\Stoned\Applications\Forensic Lockdown Software.sys
    %SystemDrive%\Stoned\Applications\Hibernation File Attack.sys
    %SystemDrive%\Stoned\Applications\Sinowal Loader.sys
    %SystemDrive%\Stoned\Applications\Windows.sys
    %SystemDrive%\Stoned\Drivers\Black Hat Europe 2007 Vipin Kumar POC.sys
    %SystemDrive%\Stoned\Drivers\Sinowal Extractor.sys
    %SystemDrive%\Stoned\Drivers\Sinowal.sys
    %SystemDrive%\Stoned\Master Boot Record.bak
    使用道具 举报 回复 支持 反对
    本帖最后由 374126620 于 2010-3-20 09:01 编辑

    瑞星说的不清楚,但可以肯定,rising现在也可以杀母体,主防也有点反应。。。(如果有网友知道,跟贴)
    使用道具 举报 回复 支持 反对
    江民也很低调,没找到啊,。(如果有网友知道,跟贴)
    使用道具 举报 回复 支持 反对
    360安全卫士新版(经过紧急升级)可以抵御“鬼影”病毒。
    使用道具 举报 回复 支持 反对
    毒霸就不发了
    使用道具 举报 回复 支持 反对
    可惜,很多杀软都没有动静啊。
    使用道具 举报 回复 支持 反对
    很多杀软,比如小红伞、avast、bd、费尔等等。有知道的,跟贴
    使用道具 举报 回复 支持 反对
    喔,卡巴很轻描淡写,这样一来,给了其用户很大的信心,这就叫涨自己志气,灭它人(病毒)威风!!!
    使用道具 举报 回复 支持 反对
    进来看热闹的
    使用道具 举报 回复 支持 反对
    还是MP的报告打的实际,没有过多的花俏。
    有理有据
    明白详细
    我就喜欢MP的这种作风。
    都是国产软件,差距怎么这么大
    使用道具 举报 回复 支持 反对
    又不是什么新鲜病毒,老早就有的技术,重新包装炒作一下而已。把病毒入库就可以了,需要杀软公司大张旗鼓?
    使用道具 举报 回复 支持 反对
    难得看到杀软都齐心协力对抗病毒呀,我想安全云应该拥有起数据最大最全最大的瑞星负责吧!
    使用道具 举报 回复 支持 反对
    avast呢,有人知道吗
    使用道具 举报 回复 支持 反对
    正在关注中。。。卡巴对这病毒不屑一顾
    使用道具 举报 回复 支持 反对
    。。。。。。。。。。。。。。。。。。。。。只是看贴,不发言。
    使用道具 举报 回复 支持 反对
    真的??假的??
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则