来自毒霸论坛的，不算新鲜的DNF远控。

pal家族

下载地址：
http://bbs.duba.net/forum.php?mo ... TYxMjY4fDIzMzU2MjQ2

来自：
http://bbs.duba.net/thread-23356246-1-1.html

截止本帖发帖时，红伞没有检测。
昨晚卡巴检测1x，由于技术支持休息，这两天剩下的难以入库了

我发现这类的，卡巴虽然不能保证每次全杀，但是总能杀掉其中一到两个。
可能跟我连续上报此类样本长达1年有关

pal家族

xyz0703 发表于 2015-11-21 14:32
权限太低不给下~~

Renascence

诺顿扫描必然miss，文件信誉也显示一般，双击了一下某bat，总算看到了SONAR的给力表现


文件名: mozcrt.dll
威胁名称: SONAR.Module!gen3完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/11/21 ( 14:56:16 )

上次使用时间 
2015/11/21 ( 14:58:30 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


mozcrt.dll 威胁名称: SONAR.Module!gen3
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzMDU0NXwxODY1MTk1
已下载文件 mozcrt.dll 威胁名称: SONAR.Module!gen3
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
mozcrt.dll

____________________________

文件操作

文件: c:\users\XXX\downloads\新价格表\新价格表\ mozcrt.dll 威胁已删除
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

fuzhk

狐狸糊涂 发表于 2015-11-21 14:41
过BD扫描

拦截DLL

cwl12315

火绒3，扫描全miss，双击bat，病毒行为防御触发，杀mozcrt.dll及衍生物C:\Documents and Settings\Administrator\Application Data\setbytes\license.dll。
---------------------------------------
这次又杀衍生了

sanhu35

这种结构的文件排列，有经验的人一看就知道的木马 或者 白+黑。

快捷方式+图+DLL+BAT
下列几个文件只有lnk快捷方式是显示的，其他文件都是普通隐藏了。



加密的BAT




运行图标快捷方式后指向Bat文件，调用rundll32.exe  加载 黑 mozcrt.dl 这里阻止了就完事了。



2015-11-21 20:38:43    创建新进程    阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe mozcrt.dll,setbytes -fn PpkzgyuXxofhn
规则: [应用程序]* -> [子应用程序]｛受限｝系统程序 -> [应用程序]c:\windows\system32\rundll32.exe

========================

允许看看






加载黑DLL

这步阻止也可以搞定他



这个再次释放的DLL 火绒行为报毒

2015-11-21 20:43:57    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Documents and Settings\Administrator\Application Data\setbytes\license.dll
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件



2015-11-21 20:44:05    结束其他进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序]*

持续联网监听
2015-11-21 20:44:10    访问网络    允许
进程: c:\windows\system32\rundll32.exe
目标: TCP [本机 : 1305] ->  [119.135.66.18 : 2627]
规则: [应用程序组]｛受限｝系统程序 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]



最后黑DLL 联网，火绒报的很清楚。  如果前面没有任何提示，突然蹦出DLL 联网的  就要警惕中木马了

xyz0703

权限太低不给下~~

ericdj

GD
自家引擎居然拦截下载
[mw_shl_code=css,true]Virus: Win32.Trojan.OnlineGamesLnk.M (Engine B)
File: att_kafan_cn
Directory: C:\Users\*\AppData\Roaming\IDM\DwnlData\Duan Jian\att_kafan_cn_266
Process: IDMan.exe[/mw_shl_code]

xiaofeizei

ericdj 发表于 2015-11-21 14:38
GD
自家引擎居然拦截下载
[mw_shl_code=css,true]Virus: Win32.Trojan.OnlineGamesLnk ...

话说gd新版测试开始了吗？我记得以前这货测试版很早就出来了

狐狸糊涂

过BD扫描

辽宁大连~~小海

唉，我还能说什么呢

ericdj

xiaofeizei 发表于 2015-11-21 14:40
话说gd新版测试开始了吗？我记得以前这货测试版很早就出来了

https://beta.gdata.de/teilnehmen

不幸的是，目前没有测试。

然而，如果您与其他用户讨论，或只是想保持你可以喜欢，但这里的Beta论坛注册。

只要输入您的电子邮件地址和下一个你想要的用户名，然后点击“发送”。您将收到我们的电子邮件确认您的帐户使用一个连接器。

275751198

上报360