修改配置，讓 comodo firewall 能夠攔截 QQPass 木馬

a256886572008

1.勾選  部份限制。



2.取消打勾  防火牆的自動允許。



3.測試病毒

(1) 輸入密碼，實際上是在 木馬的透明框上輸入。


(2)病毒執行 IE，開始傳送帳號密碼。



(3) COMODO 攔截，有特別標示 sandbox內進程  想調用。



攔截成功

mxf147

2011-10-21 23:04:08         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改文件         \Device\KsecDD 
2011-10-21 23:04:13         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改文件         C:\Documents and Settings\Administrator\桌面\test\2011.jpg 
2011-10-21 23:04:16         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         创建进程         C:\WINDOWS\system32\taskkill.exe 
2011-10-21 23:04:18         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改文件         \Device\NamedPipe\wkssvc 
2011-10-21 23:04:22         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改注册表项         HKUS\S-1-5-21-823518204-1202660629-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal 
2011-10-21 23:04:22         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         创建进程         C:\WINDOWS\system32\shimgvw.dll 
2011-10-21 23:04:30         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改文件         \Device\NamedPipe\lsarpc 
2011-10-21 23:04:30         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         修改注册表项         HKUS\S-1-5-21-823518204-1202660629-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\BaseClass 
2011-10-21 23:04:47         C:\Documents and Settings\Administrator\桌面\test\我的相片.exe         创建进程         C:\WINDOWS\system32\rundll32.exe 

紫涵

这个不就是那个穿360和金山的那个QQ木马吗？我开的低权限模式，他只创健了一个JPG图片。

a256886572008

mxf147 发表于 2011-10-21 23:08

重點就只有  防火牆  那一步

sevenday

能不能上老版本中文版的操作，我还得改语言才能弄这个，改完语言发现你的是新版，我是旧版

紫涵

sevenday 发表于 2011-10-21 23:12
能不能上老版本中文版的操作，我还得改语言才能弄这个，改完语言发现你的是新版，我是旧版

他的意思是打开沙盘的部份限制，然后防火墙旧版没有自动允许的，不用理。

sevenday

紫涵 发表于 2011-10-21 23:14
他的意思是打开沙盘的部份限制，然后防火墙旧版没有自动允许的，不用理。

我是5.3，和新版那里有区别？那个自动允许在哪？我连你这个允许的框框都没有。。。

紫涵

sevenday 发表于 2011-10-21 23:18
我是5.3，和新版那里有区别？那个自动允许在哪？

5.3的防火墙没有自动允许，所以不用理，你打开沙盘就行了。

chncwk

如果禁用沙盘，是不是就无法拦截了？

sevenday

紫涵 发表于 2011-10-21 23:19
5.3的防火墙没有自动允许，所以不用理，你打开沙盘就行了。

沙盘有360卫士那个的，同时开不是会冲突么