VT Detection ratio: 0 / 47 Launhost64.dll rundll32注入explorer

显示全部楼层 · 发表于 2013-6-4 19:50:40

墨家小子发表于 2013-6-4 17:29
拉黑有什么，实测主防试试

还是算了，对国产的主防没信心啊

显示全部楼层 · 发表于 2013-6-5 22:52:52

2013-6-5 22:48:53 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\4966292.exe
命令行: "D:\Documents and Settings\killleer\桌面\4966292.exe"
规则: [应用程序]d:\windows\explorer.exe

2013-6-5 22:48:55 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-6-5 22:48:56 读文件允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\桌面\4966292.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-6-5 22:49:05 创建文件允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\WINDOWS\system32\cleasink.dll
规则: [文件组]系统执行文件 -> [文件]d:\windows\*; *.dll

2013-6-5 22:49:09 删除注册表值阻止
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\reseinst
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2013-6-5 22:49:21 修改注册表值阻止
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\reseinst
值: D:\WINDOWS\system32\cleasink.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls

2013-6-5 22:49:34 修改注册表值阻止
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\reseinst
值: rundll32 "D:\WINDOWS\system32\cleasink.dll",CreateProcessNotify
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2013-6-5 22:49:43 修改其他进程的内存 (4) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: d:\windows\explorer.exe
规则: [应用程序]*

2013-6-5 22:49:45 在其他进程中创建线程允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: d:\windows\explorer.exe
规则: [应用程序]*

2013-6-5 22:49:50 修改其他进程的内存 (4) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: d:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2013-6-5 22:49:51 在其他进程中创建线程允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: d:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2013-6-5 22:49:56 加载动态链接库允许
进程: d:\program files\internet explorer\iexplore.exe
目标: d:\windows\system32\cleasink.dll
规则: [应用程序]d:\program files\internet explorer\iexplore.exe

2013-6-5 22:50:00 创建文件允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\桌面\816656.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2013-6-5 22:50:02 读文件允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\桌面\816656.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2013-6-5 22:50:03 读文件夹允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 22:50:09 读文件 (6) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\My Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2013-6-5 22:50:10 读文件夹允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\All Users
规则: [文件]d:\documents and settings

2013-6-5 22:50:13 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\All Users\Documents\desktop.ini
规则: [文件组]所有执行文件 -> [文件]*; *.ini

2013-6-5 22:50:14 读文件夹允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 22:50:16 读文件夹 (2) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 22:50:19 读文件允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\桌面\816656.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2013-6-5 22:50:21 读文件夹允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 22:50:26 读文件 (6) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer\桌面\816656.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2013-6-5 22:50:29 读文件夹 (3) 允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 22:50:35 创建新进程允许
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: d:\windows\system32\cmd.exe
命令行: cmd /c ""D:\Documents and Settings\killleer\桌面\816656.bat" "D:\Documents and Settings\killleer\桌面\4966292.exe""
规则: [应用程序]*

2013-6-5 22:51:01 删除文件阻止
进程: d:\windows\system32\cmd.exe
目标: D:\Documents and Settings\killleer\桌面\4966292.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-6-5 22:51:07 删除文件阻止并结束进程
进程: d:\windows\system32\cmd.exe
目标: D:\Documents and Settings\killleer\桌面\4966292.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

显示全部楼层 · 发表于 2013-6-5 22:58:58

被加了DLL后的EXPLORER.EXE...

自动出现
2013-6-5 22:53:07 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\windows\system32\makecab.exe
命令行: makecab.exe /F "D:\DOCUME~1\killleer\LOCALS~1\Temp\509E.tmp"
规则: [应用程序]d:\windows\explorer.exe

2013-6-5 22:53:14 读文件 (3) 允许
进程: d:\windows\system32\makecab.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-6-5 22:53:17 读文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\509E.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:20 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:22 读文件 (2) 允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:25 删除文件阻止
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:28 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.inf
规则: [文件组]所有执行文件 -> [文件]*; *.inf

2013-6-5 22:53:30 读文件 (2) 允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.inf
规则: [文件组]所有执行文件 -> [文件]*; *.inf

2013-6-5 22:53:32 删除文件阻止
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.inf
规则: [文件组]所有执行文件 -> [文件]*; *.inf

2013-6-5 22:53:33 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02009.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:36 读文件 (2) 允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02009.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:37 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\CAB02009.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:39 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.rpt
规则: [文件]*

2013-6-5 22:53:41 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.rpt
规则: [文件]*

2013-6-5 22:53:42 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf2
规则: [文件]*

2013-6-5 22:53:43 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf3
规则: [文件]*

2013-6-5 22:53:45 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf4
规则: [文件]*

2013-6-5 22:53:47 读文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\509E.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:48 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:50 读文件 (2) 允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:51 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\CAB02008.TMP
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:53:53 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab5
规则: [文件]*

2013-6-5 22:53:54 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab6
规则: [文件]*

2013-6-5 22:53:55 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab7
规则: [文件]*

2013-6-5 22:53:57 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab8
规则: [文件]*

2013-6-5 22:53:58 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab9
规则: [文件]*

2013-6-5 22:53:58 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab10
规则: [文件]*

2013-6-5 22:53:59 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab11
规则: [文件]*

2013-6-5 22:54:05 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab5
规则: [文件]*

2013-6-5 22:54:06 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab6
规则: [文件]*

2013-6-5 22:54:08 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\5942.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:54:09 读文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\5942.tmp
规则: [文件组]所有执行文件 -> [文件]*; *.tmp

2013-6-5 22:54:10 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab7
规则: [文件]*

2013-6-5 22:54:11 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab8
规则: [文件]*

2013-6-5 22:54:12 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab9
规则: [文件]*

2013-6-5 22:54:12 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab12
规则: [文件]*

2013-6-5 22:54:13 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab13
规则: [文件]*

2013-6-5 22:54:14 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab14
规则: [文件]*

2013-6-5 22:54:14 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab10
规则: [文件]*

2013-6-5 22:54:15 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab11
规则: [文件]*

2013-6-5 22:54:16 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab12
规则: [文件]*

2013-6-5 22:54:18 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab13
规则: [文件]*

2013-6-5 22:54:19 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\cab14
规则: [文件]*

2013-6-5 22:54:21 修改文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.inf
规则: [文件组]所有执行文件 -> [文件]*; *.inf

2013-6-5 22:54:22 读文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.inf
规则: [文件组]所有执行文件 -> [文件]*; *.inf

2013-6-5 22:54:23 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf2
规则: [文件]*

2013-6-5 22:54:23 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf3
规则: [文件]*

2013-6-5 22:54:24 删除文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\inf4
规则: [文件]*

2013-6-5 22:54:25 创建文件允许
进程: d:\windows\system32\makecab.exe
目标: D:\Documents and Settings\killleer\Local Settings\Temp\3E38.tmp\setup.rpt
规则: [文件]*

显示全部楼层 · 发表于 2013-6-5 23:01:53

2013-6-5 22:49:34 修改注册表值阻止
进程: d:\documents and settings\killleer\桌面\4966292.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\reseinst
值: rundll32 "D:\WINDOWS\system32\cleasink.dll",CreateProcessNotify
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

由此可得,DLL的加载方法,楼主给人家科普下

显示全部楼层 · 发表于 2013-6-5 23:04:58

2013-6-5 23:03:40 创建新进程允许
进程: d:\windows\system32\cmd.exe
目标: d:\windows\system32\rundll32.exe
命令行: rundll32.exe "D:\Documents and Settings\killleer\桌面\cleasink.dll",CreateProcessNotify
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-6-5 23:03:41 读文件夹允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\killleer
规则: [文件]d:\documents and settings

2013-6-5 23:03:44 读文件 (3) 允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\killleer\桌面\cleasink.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-6-5 23:03:45 加载动态链接库允许
进程: d:\windows\system32\rundll32.exe
目标: d:\documents and settings\killleer\桌面\cleasink.dll
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-6-5 23:03:51 修改其他进程的内存阻止
进程: d:\windows\system32\rundll32.exe
目标: d:\windows\explorer.exe
规则: [应用程序]d:\windows\system32\rundll32.exe

手动加载结果如上

显示全部楼层 · 发表于 2013-6-5 23:07:36

继续的结果...
2013-6-5 23:05:42 修改其他进程的内存 (4) 允许
进程: d:\windows\system32\rundll32.exe
目标: d:\windows\explorer.exe
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-6-5 23:05:44 在其他进程中创建线程允许
进程: d:\windows\system32\rundll32.exe
目标: d:\windows\explorer.exe
规则: [应用程序]d:\windows\system32\rundll32.exe

这时EXPLORER.EXE的模块里有那个DLL出现~~~

[可疑文件] VT Detection ratio: 0 / 47 Launhost64.dll rundll32注入explorer