穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)

显示全部楼层 · 发表于 2011-10-1 23:23:32

大家試試，各家 HIPS 會如何處理這個樣本。

显示全部楼层 · 发表于 2011-10-1 23:27:55

扫描还是要的，等会试下HIPS

ESET killed

2011-10-1 23:26:34 HTTP 过滤器文件 http://bbs.kafan.cn/forum.php?mo ... DQ5MDUwNXwxMDk4MjQ0 Win32/TrojanDownloader.Banload.PZM 特洛伊木马的变种连接中断 - 已隔离 90146392FEC5490\Administrator 通过应用程序访问 web 时检测到威胁: C:\Program Files\Opera\opera.exe.

显示全部楼层 · 发表于 2011-10-1 23:29:41

本帖最后由 hx1997 于 2011-10-1 23:32 编辑

有神马其他危害啊，求分析。

2011-10-1 23:27:54 C:\WINDOWS\system32\rundll32.exe 修改启动设置 HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\File 已阻止 040.Autoruns

2011-10-1 23:27:50 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:49 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:49 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:49 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:48 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:48 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:47 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:47 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:46 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:44 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:43 C:\WINDOWS\system32\rundll32.exe 启动新应用程序 C:\WINDOWS\system32\sc.exe 已阻止 002.Scripts

2011-10-1 23:27:39 C:\WINDOWS\system32\rundll32.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA 已阻止 038.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\

显示全部楼层 · 发表于 2011-10-1 23:34:39

DW 的日志，正好加强一下规则。

DefenseWall log file

10.01.2011  23:32:12，模块 C:\WINDOWS\system32\conime.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:12，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:12，模块 C:\WINDOWS\system32\conime.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:12，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\conime.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ (注册表)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ (注册表)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ (注册表)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ (注册表)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to create new key HKCR\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32\ (注册表)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to set value File within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (注册表)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， Attempt to attach to the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， Attempt to detach from the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， Attempt to attach to the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\conime.exe， Attempt to detach from the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:02，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， Attempt to delete service (服务)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\sc.exe， 1:Process is running untrusted now (进程)

10.01.2011  23:32:01，模块 C:\WINDOWS\system32\rundll32.exe， Attempt to set value EnableLUA within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ (注册表)

显示全部楼层 · 发表于 2011-10-1 23:34:57

hx1997 发表于 2011-10-1 23:29
有神马其他危害啊，求分析。

2011-10-1 23:27:54 C:\WINDOWS\system32\rundll32.exe 修改启动设置 ...

你那邊有 defense wall 嗎？

看看如何處理？

----------------------------------
2011-10-1 18:33:58 创建新进程阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC STOP "aswUpdSv
规则: [应用程序组]｛特权｝系统程序 -> [子应用程序]『禁运』黑名单

MD 檢測到，調用 sc.exe 停止 avast 升級服務。

显示全部楼层 · 发表于 2011-10-1 23:37:44

本帖最后由 hx1997 于 2011-10-1 23:38 编辑

a256886572008 发表于 2011-10-1 23:34
你那邊有 defense wall 嗎？

看看如何處理？

嗯，看楼上DW日志。

ESET HIPS又没有命令行检测和服务控制，只能禁运了...

显示全部楼层 · 发表于 2011-10-1 23:40:20

hx1997 发表于 2011-10-1 23:37
嗯，看楼上DW日志。

ESET HIPS又没有命令行检测和服务控制，只能禁运了...

defensewall，你是直接把 .cpl 文件加入不信任之後，直接雙擊嗎？

显示全部楼层 · 发表于 2011-10-1 23:41:29

a256886572008 发表于 2011-10-1 23:40
defensewall，你是直接把 .cpl 文件加入不信任之後，直接雙擊嗎？

我是cpl右键-以不信任方式运行。

显示全部楼层 · 发表于 2011-10-1 23:41:44

COMODO V5.5的测试情况，应该不能穿破规则。如图。

显示全部楼层 · 发表于 2011-10-1 23:42:38

COMODO V5.5的测试情况，应该不能穿破规则。如图。

[病毒样本] 穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)

本帖子中包含更多资源

本帖子中包含更多资源