想测试的朋友,请进论坛下载相应的病毒样本,出于安全考虑就不在此公开提供。
图片: 
经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本均被成功穿透,这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP,二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys
刚写好的ROS脚本,要的自己加上去
刚写好的ROS脚本,要的自己加上去
| 以下为引用的内容: / ip firewall filter add chain=forward content=yu.8s7.net action=reject comment="DF6.0" add chain=forward content=www.tomwg.com action=reject / ip firewall filter add chain=forward content=58.221.254.103 action=reject comment="DF6.0" |
批处理:(注,此批处理最好是安装还原以后再用.)
|
以下为引用的内容: echo y|cacls c:\windows\system32\userinit.exe /c /d everyone |
