可能穿破 comodo

显示全部楼层 · 发表于 2013-6-14 01:20:11

把他解壓出來點快捷。

2013-06-14 00:32:24 C:\WINDOWS\system32\drivers\annie.sys Sandboxed As Partially Limited

2013-06-14 00:32:25 C:\WINDOWS\system32\conime.exe Sandboxed As Partially Limited

2013-06-14 00:32:28 C:\WINDOWS\system32\drivers\annie.sys Modify Key HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Open With

2013-06-14 00:32:53 C:\WINDOWS\system32\drivers\annie.sys Modify Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

2013-06-14 00:33:33 C:\WINDOWS\system32\drivers\annie.sys Modify Key HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

認定穿破的可能因素：
1. C:\WINDOWS\system32\drivers\annie.sys ，這個文件哪裡來的？

2.雙擊快捷之後，我發現有未入沙的進程，wscript.exe。

判定為"可能"的原因：
如日誌，攔截了這些動作，並沒有發現感染的地方。

----------
只能問問官方如何判定

显示全部楼层 · 发表于 2013-6-14 01:25:39

有用其他手動HIPS的人，請檢查一下雙擊.lnk 之後，各個 wscript.exe 的命令行是什麼？

還有，是誰新建那個文件到 %windir%下的？

显示全部楼层 · 发表于 2013-6-14 09:02:11

被在线扫描发现恶意程序

显示全部楼层 · 发表于 2013-6-14 09:26:55

a256886572008 发表于 2013-6-14 01:25
有用其他手動HIPS的人，請檢查一下雙擊.lnk 之後，各個 wscript.exe 的命令行是什麼？

還有，是誰新建那 ...

这个

显示全部楼层 · 发表于 2013-6-14 12:17:00

还好我是CIS+Sbie

显示全部楼层 · 发表于 2013-6-14 12:24:23

这个应该不能过毛豆的虚拟型级别吧

显示全部楼层 · 发表于 2013-6-14 12:54:33

darkwolf_99 发表于 2013-6-14 12:24
这个应该不能过毛豆的虚拟型级别吧

主要是命令行檢測的問題。

這功能對於黑白名單型很重要。

显示全部楼层 · 发表于 2013-6-14 13:00:17

qq5150 发表于 2013-6-14 09:26
这个

那個 wscript.exe 就是 explorer.exe 執行的，但不被入沙，如下 step1。

1樓的日誌，comodo 是從step2才開始入沙，病毒也是這時候才開始有動作。

原因：如果把 sandbox level 改成 blocked，會發生出錯。

(step1)2013/6/14 06:14:39 Create new process Permitted
Process: c:\windows\explorer.exe
Target: c:\windows\system32\wscript.exe
Cmd line: "C:\WINDOWS\system32\wscript.exe" //e:jscript.encode annie.ani /q:5
Rule: [App]c:\windows\explorer.exe

(step2)2013/6/14 06:14:42 Create new process Permitted
Process: c:\windows\system32\wscript.exe
Target: c:\windows\system32\wscript.exe
Cmd line: "C:\WINDOWS\system32\wscript.exe" //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
Rule: [App]*

(step3)2013/6/14 06:14:42 Create new process Permitted
Process: c:\windows\system32\wscript.exe
Target: c:\program files\windows media player\wmplayer.exe
Cmd line: "C:\Program Files\Windows Media Player\wmplayer.exe" "C:\Documents and Settings\All Users\Application Data\Shared Space\worm_autorun\UNKNOWN\UNKNOWN\beautiful_girl_part_5.avi
Rule: [App]*

step3，因為那個wscript.exe沒入沙，所以他執行的 wmplayer.exe 也不會被入沙。

显示全部楼层 · 发表于 2013-6-14 13:27:55

显示全部楼层 · 发表于 2013-6-14 18:46:44

[BUG] 可能穿破 comodo

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源