样本来自：http://bbs.janmeng.com/thread-774908-1-1.html

此毒貌似是1l1.exe的改良版。有很多行为与1l1.exe相似。

粗略观察到的动作有：
结束NOD32进程、结束windows安全中心、结束windows防火墙。从网络下载大量病毒。多DLL插入多个应用程序进程。

与原先那个 1l1.exe不同的是：这个down.exe在开启瑞星全部监控的条件下改写了瑞星的部分文件


此毒的注册表 改动如下：


另：此毒可以穿透影子之类的软件。全影模式下 运行down.exe，重启后可见C:\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe（重启后可直接删除之）。此毒 是否感染非系统分区-----不得而知。我的硬盘只有一个分区。

[ 本帖最后由 baohe 于 2008-7-2 09:07 编辑 ]

看来瑞星的自我保护能力需提高。

居然直接被人改写。。。。。。。。。只不过。。。这玩意只针对瑞星改写吗？

引用:

原帖由 eyeego 于 2008-7-2 09:30 发表
居然直接被人改写。。。。。。。。。只不过。。。这玩意只针对瑞星改写吗？

我系统中的安全类软件总计有：
Tiny、SSM、影子、瑞星杀软（没有瑞星防火墙）。
前三个，病毒没动。如果想动，也不是办不到的事。现在的病毒，及其BT！！

[ 本帖最后由 baohe 于 2008-7-2 09:41 编辑 ]

引用:

原帖由 baohe 于 2008-7-2 09:39 发表

我系统中的安全类软件总计有：
Tiny、SSM、影子、瑞星杀软（没有瑞星防火墙）。
前三个，病毒没动。如果想动，也不是办不到的事。现在的病毒，及其BT！！

嗯，病毒的共性！

穿还原，替换掉杀毒软件的主程序等，估计以后都成病毒必须做的手续事了。

可真能搞。

我有机会一定去测测各家还原类软件能否阻止它穿。

[ 本帖最后由 天月来了 于 2008-7-2 10:44 编辑 ]

呵呵，我有卡巴2009，我不怕。
觉得瑞星的自我保护比较脆弱。
我不明白的是，瑞星的主防难道没有发现？

这病毒释放的文件真不少。。

估计是想磨手动杀毒者的耐心吧。。

引用:

原帖由 sharkkong 于 2008-7-2 16:18 发表
呵呵，我有卡巴2009，我不怕。
觉得瑞星的自我保护比较脆弱。
我不明白的是，瑞星的主防难道没有发现？

运行此样本时，开着瑞星所有监控。瑞星“很乖”，静静的。

引用:

原帖由 sharkkong 于 2008-7-2 16:18 发表
呵呵，我有卡巴2009，我不怕。
觉得瑞星的自我保护比较脆弱。
我不明白的是，瑞星的主防难道没有发现？

KAV 2009的？。。
不是还在测试么？。