查看: 6793|回复: 24
收起左侧

[可疑文件] VT Detection ratio: 3 / 46 5261148.dll 穿破comodo的又来啦

[复制链接]
firefox3
发表于 2013-2-21 23:12:25 | 显示全部楼层 |阅读模式




https://www.virustotal.com/en/fi ... nalysis/1361459174/



我大咖啡神勇!

2013/2/21        23:10:58        已由访问保护规则禁止         l\XX          C:\Program Files (x86)\Java\jre7\bin\java.exe        C:\Sandbox\XX\IE\user\current\8856396.dll        用户定义的规则:04 封锁dll        已阻止的操作: 创建

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hddu
发表于 2013-2-21 23:15:07 | 显示全部楼层
进来参观学习。
Mr.Tong
发表于 2013-2-21 23:34:38 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
firefox3
 楼主| 发表于 2013-2-21 23:52:00 | 显示全部楼层
5261148.zip (72.04 KB, 下载次数: 33) 两个人回复
Love=卡巴+费尔
发表于 2013-2-22 00:08:50 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
卡毒_破晓
发表于 2013-2-22 00:10:15 | 显示全部楼层
过卡巴
消停
头像被屏蔽
发表于 2013-2-22 07:44:27 | 显示全部楼层
完整路径: 不可用
威胁: SONAR.Module!gen3
____________________________
____________________________
在电脑上的创建时间 2013-2-22 ( 7:43:34 )
上次使用时间 2013-2-22 ( 7:43:43 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
5261148.dll
____________________________
文件操作
文件: f:\norton样本\5261148.dll
已删除
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
hddu
发表于 2013-2-22 10:50:13 | 显示全部楼层
2013-02-21 23:23:04    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\runctf.lnk
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->?:\Documents and Settings\*\*菜单\程序\启动*\*


2013-02-21 23:23:07    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2013-02-21 23:23:08    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2013-02-21 23:23:08    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2013-02-21 23:23:09    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2013-02-21 23:23:10    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1609
触发规则:应用程序规则->系统程序(二)->%windir%\system32\rundll32.exe->*


2013-02-21 23:23:10    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-02-21 23:23:10    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-02-21 23:23:10    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-02-21 23:23:10    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-02-21 23:23:10    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:2500
触发规则:所有程序规则->IE浏览器设置->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-02-21 23:23:10    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%ProgramFiles%\Internet Explorer\iexplore.exe


2013-02-21 23:23:11    创建远程线程      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\rundll32.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%ProgramFiles%\Internet Explorer\iexplore.exe

评分

参与人数 1人气 +1 收起 理由
firefox3 + 1 感谢解答: )

查看全部评分

firefox3
 楼主| 发表于 2013-2-22 10:54:06 | 显示全部楼层
hddu 发表于 2013-2-22 10:50
2013-02-21 23:23:04    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32. ...

等会看
mizai
发表于 2013-2-22 12:02:42 | 显示全部楼层
2013-2-22 11:04:48    创建新进程    允许
进程: c:\windows\system32\regsvr32.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ADMINI~1\桌面\\5261148.dll,M1N1
规则: [应用程序组]病毒测试

2013-2-22 11:05:02    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Sandbox\Administrator\Test1Box\user\all\Application Data\8411625.pad               这个文件足有90M
规则: [应用程序组]病毒测试 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:05:25    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\「开始」菜单\程序\启动\runctf.lnk
规则: [应用程序组]病毒测试 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:05:25    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Sandbox\Administrator\Test1Box\user\all\Application Data\8411625.js
规则: [应用程序组]病毒测试 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:05:32    创建新进程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
规则: [应用程序组]病毒测试

2013-2-22 11:05:36    创建新进程    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:2712 CREDAT:79873
规则: [应用程序]*

2013-2-22 11:05:39    修改其他进程的内存    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序组]病毒测试

2013-2-22 11:05:39    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{B83DE94C-7C9C-11E2-AACB-005056C00008}.dat
规则: [应用程序组]{全局}过滤规则 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:05:53    修改其他进程的内存 (3)    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序组]病毒测试

2013-2-22 11:05:54    在其他进程中创建线程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序组]病毒测试

2013-2-22 11:05:58    加载动态链接库    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\documents and settings\administrator\桌面\\5261148.dll
规则: [应用程序]* -> [动态链接库]*\桌面\*

2013-2-22 11:06:06    访问网络    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: TCP [本机 : 3671] ->  [66.197.215.165 : 80 (http)]
规则: [网络]TCP [本机 : 任意端口] -> [任意地址 : 80]

2013-2-22 11:06:06    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{C9AF7DC0-7C9C-11E2-AACB-005056C00008}.dat
规则: [应用程序组]{全局}过滤规则 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:06:06    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\Local Settings\Temp\~DF5C2C.tmp
规则: [应用程序组]{全局}过滤规则 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:06:06    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\Local Settings\Temporary Internet Files\SuggestedSites.dat
规则: [应用程序组]{全局}过滤规则 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:06:13    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Sandbox\Administrator\Test1Box\user\current\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat
规则: [应用程序组]{全局}过滤规则 -> [文件]c:\sandbox\administrator\test*

2013-2-22 11:07:13    创建新进程    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ADMINI~1\桌面\\5261148.dll,M1N2
规则: [应用程序组]病毒测试

最后一步允许后,神奇的一幕发生了:


重启后无恙,如果最后一步阻止了,就没有出现锁屏现象

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 12:49 , Processed in 0.144536 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表