天黑路滑，样本复杂，黑白不分，万物杀呀杀 全新wgsdgsdgdsgsd出场，携带的是一个dll

firefox3

截止晚间10点，BD的AVC IDS 诺顿的SONAR 瑞星的主防 相继落马！

DLL型木马，运行参考本帖8楼，在此对毒组 hx1997 表示感谢，银器什么的就不说了，太俗气

亲们，晚点上报！

http://virusscan.jotti.org/en/sc ... 06dbf966cbceb39bc64

http://virusscan.jotti.org/en/sc ... 8be9bb9a188b1270bf2

https://www.virustotal.com/file/ ... nalysis/1355495950/

https://www.virustotal.com/file/ ... c440003fd/analysis/



拦截记录：

2012-12-14 21:01:07         C:\Program Files\Internet Explorer\iexplore.exe         创建进程         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe
2012-12-14 21:01:15         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe         修改文件         C:\Documents and Settings\Administrator\Application Data\dllexp.dll
2012-12-14 21:01:41         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe         创建进程         C:\Documents and Settings\Administrator\Application Data\dllexp.dll
2012-12-14 21:02:00         C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe         创建进程         C:\WINDOWS\system32\rundll32.exe
2012-12-14 21:02:09         C:\Documents and Settings\Administrator\Application Data\dllexp.dll         创建进程         C:\Program Files\Internet Explorer\IEXPLORE.EXE
报告结束


截图呈现：

360技师

诺顿，全过今天不给力啊

keyaozhang

过掉费尔的扫描
感谢测试组的大大指导了一下怎么测试dll病毒，下面是运行结果

运行dll文件后，首先火绒会报运行dll文件的程序，这个选择允许，然后就是费尔主防直接秒掉，回滚操作进行修复





哎，测试到现在，貌似还没有过掉费尔+火绒双主防的，得瑟一下

katatlove

BD 战败  

firefox3

katatlove 发表于 2012-12-14 21:18
BD 战败

我现在对于秒BD已经没有兴奋感了

lbb9432

ESET为了这些样本每天更新N个定义 还是有点儿跟不上  

延迟10 min  to ESET  

firefox3

keyaozhang 发表于 2012-12-14 21:16
过掉费尔的扫描
然后是双击，发现无法运行？？？？？？。。。。。。。。。。

参考：http://bbs.kafan.cn/thread-1422889-2-1.html  11楼

记住哦，只说一次哦

DLL型木马

hx1997

Reveton 更新了...
俺是来看这个怎么运行的

rundll32.exe "DLL 全路径",exp

870097067

hx1997

firefox3 发表于 2012-12-14 21:26
参考：http://bbs.kafan.cn/thread-1422889-2-1.html  11楼

记住哦，只说一次哦

木马更新了，运行方法也变了。