本BLOG内容已经全部迁往新BLOG

地址：http://hi.baidu.com/eqsyssecurity

欢迎继续支持

本BLOG内容已经全部迁往新BLOG

地址：http://hi.baidu.com/eqsyssecurity

欢迎继续支持

本BLOG内容已经全部迁往新BLOG

地址：http://hi.baidu.com/eqsyssecurity

欢迎继续支持

本BLOG内容已经全部迁往新BLOG

地址：http://hi.baidu.com/eqsyssecurity

欢迎继续支持

其实也没什么奇异的

都是那个2008-4-2_ABFAE搞鬼。包内其它文件，随便解压，一切正常

如果要解压这个2008-4-2_ABFAE，就会报错（只有这个文件解不出来）

当解压到那个文件的时候

由于出错

导致winrar从头解压

然后解压到那个文件  

由于出错

又从头解压

……

……

……

等于一个人为设置的死循环解压

样本来自：http://bbs.hypost.cn/read.php?tid-239576.html

正版影子2008个人版

试了一下   重启以后explorer.exe未被还原   仍然被病毒破坏

手动运行explorer.exe提示不是有效的win32应用程序

还好我是BB为默认shell 否则的话 重启就会无法进入桌面

感染后的explorer.exe卡巴扫描为：病毒 Virus.Win32.Agent.bd

虽然能成功清除病毒 但explorer.exe已经不能使用了 会报错

新版的EQ添加一个功能 “全局拦截设置”

用户可根据该功能自行选择需要开启的各项保护功能

如不需要 运行程序拦截功能   只需去掉勾选状态即可  

那么不管规则如何设置 EQ都不会拦截程序的运行

因为拦截程序运行的功能已经取消了

这样可避免在某些情况下因EQ的某些功能与用户使用的其他软件冲突而导致系统蓝屏和不稳定的情况

另外也更加方便用户定制自己需要的监控功能 用以搭配其他安全软件使用

PS.EQ将会于近期发布新的测试版

目前已经解决EQ同费尔杀毒软件的冲突

使用费尔杀毒软件的网友可等待EQ下一个版本

最近跟猪谈EQ防火墙的事情 据猪说 最早也要到暑假才会开始开发防火墙部分 所以这里先用另外一个老版本的 Kerio 防火墙YY下

－－－－－－－

测试前以预先运行 IExplore.exe   explorer.exe important.exe进程

样本来自：http://bbs.deepin.org/read.php?tid=628521

简单分析了下

是易语言编写的一个批处理病毒

中毒症状表现为excel文件里边的原数据内容被修改成了文件的路径名

会在D盘根目录生成12-25.EXE 在windows目录生成的telmet.exe    并与样本six.exe的MD5相同

运行后EQ拦截如下

通过

Trustport（AVG，诺曼，Dr.Web，Ewido，VBA32）5引擎
AVG（自身+被收购的Ewido）
小红伞
eTrust
NOD32
飞塔
F-PROT
F-Secure
AVK2008（卡巴6引擎+avast！）双引擎
卡巴斯基
金山毒霸
微软Forefront
微软OneCare
eScan（自身+卡巴6引擎）印度的杀软
诺曼
红石
赛门铁克

自从ESET NOD32升级到3.0后还没有试用过   今天就下载了一个用用

EAV3.0首先给人的感觉界面比以前漂亮了

也不知道这个Business Edition和一般的版本有甚么区别

使用keepass密码管理软件运行IE   触发的却是迅雷的规则

主要表现为Twister.exe（费尔）占用CUP居高不下，关闭EQ的所有保护还是一样。退出EQ后Twister.exe的CPU占用马上降为零

还原NtReadVirtualMemory该项的SSTD后

Twister.exe的CPU占用马上恢复正常，基本为零