查看: 8269|回复: 37
收起左侧

[病毒样本] 穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺,掃描黨免進)

[复制链接]
a256886572008
发表于 2011-10-1 23:23:32 | 显示全部楼层 |阅读模式
大家試試,各家 HIPS 會如何處理這個樣本。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hx1997
发表于 2011-10-1 23:27:55 | 显示全部楼层
扫描还是要的,等会试下HIPS

ESET killed

2011-10-1 23:26:34        HTTP 过滤器        文件        http://bbs.kafan.cn/forum.php?mo ... DQ5MDUwNXwxMDk4MjQ0        Win32/TrojanDownloader.Banload.PZM 特洛伊木马 的变种        连接中断 - 已隔离        90146392FEC5490\Administrator        通过应用程序访问 web 时检测到威胁: C:\Program Files\Opera\opera.exe.
hx1997
发表于 2011-10-1 23:29:41 | 显示全部楼层
本帖最后由 hx1997 于 2011-10-1 23:32 编辑

有神马其他危害啊,求分析。

2011-10-1 23:27:54        C:\WINDOWS\system32\rundll32.exe        修改启动设置        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\File        已阻止        040.Autoruns       

2011-10-1 23:27:50        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:49        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:49        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:49        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:48        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:48        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:47        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:47        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:46        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:44        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:43        C:\WINDOWS\system32\rundll32.exe        启动新应用程序        C:\WINDOWS\system32\sc.exe        已阻止        002.Scripts       

2011-10-1 23:27:39        C:\WINDOWS\system32\rundll32.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA        已阻止        038.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\       
hx1997
发表于 2011-10-1 23:34:39 | 显示全部楼层
DW 的日志,正好加强一下规则。

DefenseWall log file

10.01.2011  23:32:12,模块 C:\WINDOWS\system32\conime.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:12,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:12,模块 C:\WINDOWS\system32\conime.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:12,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\conime.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ (注册表)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ (注册表)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ (注册表)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to create new key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}\ (注册表)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to create new key HKCR\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32\ (注册表)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to set value File within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (注册表)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, Attempt to attach to the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, Attempt to detach from the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, Attempt to attach to the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\conime.exe, Attempt to detach from the thread input of the C:\WINDOWS\system32\csrss.exe (粉碎)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:02,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, Attempt to delete service (服务)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\sc.exe, 1:Process is running untrusted now (进程)

10.01.2011  23:32:01,模块 C:\WINDOWS\system32\rundll32.exe, Attempt to set value EnableLUA within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ (注册表)
a256886572008
 楼主| 发表于 2011-10-1 23:34:57 | 显示全部楼层
hx1997 发表于 2011-10-1 23:29
有神马其他危害啊,求分析。

2011-10-1 23:27:54        C:\WINDOWS\system32\rundll32.exe        修改启动设置 ...

你那邊有 defense wall 嗎?

看看如何處理?

----------------------------------
2011-10-1 18:33:58    创建新进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC STOP "aswUpdSv
规则: [应用程序组]{特权}系统程序 -> [子应用程序]『禁运』黑名单

MD 檢測到,調用 sc.exe 停止 avast 升級服務。
hx1997
发表于 2011-10-1 23:37:44 | 显示全部楼层
本帖最后由 hx1997 于 2011-10-1 23:38 编辑
a256886572008 发表于 2011-10-1 23:34
你那邊有 defense wall 嗎?

看看如何處理?


嗯,看楼上DW日志。

ESET HIPS又没有命令行检测和服务控制,只能禁运了...
a256886572008
 楼主| 发表于 2011-10-1 23:40:20 | 显示全部楼层
hx1997 发表于 2011-10-1 23:37
嗯,看楼上DW日志。

ESET HIPS又没有命令行检测和服务控制,只能禁运了...

defensewall,你是直接把 .cpl 文件 加入不信任之後,直接雙擊嗎?

hx1997
发表于 2011-10-1 23:41:29 | 显示全部楼层
a256886572008 发表于 2011-10-1 23:40
defensewall,你是直接把 .cpl 文件 加入不信任之後,直接雙擊嗎?

我是cpl右键-以不信任方式运行。
h8888
发表于 2011-10-1 23:41:44 | 显示全部楼层
COMODO V5.5的测试情况,应该不能穿破规则。如图。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
h8888
发表于 2011-10-1 23:42:38 | 显示全部楼层
COMODO V5.5的测试情况,应该不能穿破规则。如图。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 19:35 , Processed in 0.137489 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表