查看: 8593|回复: 71
收起左侧

[病毒样本] 来自毒霸论坛的,不算新鲜的DNF远控。

  [复制链接]
pal家族
发表于 2015-11-21 14:20:16 | 显示全部楼层 |阅读模式
下载地址:
http://bbs.duba.net/forum.php?mo ... TYxMjY4fDIzMzU2MjQ2

来自:
http://bbs.duba.net/thread-23356246-1-1.html

截止本帖发帖时,红伞没有检测。
昨晚卡巴检测1x,由于技术支持休息,这两天剩下的难以入库了

我发现这类的,卡巴虽然不能保证每次全杀,但是总能杀掉其中一到两个。
可能跟我连续上报此类样本长达1年有关

评分

参与人数 3经验 +5 人气 +2 收起 理由
白露为霜 + 1 版区有你更精彩: )
dongwenqi + 1 版区有你更精彩: )
绯色鎏金 + 5 感谢支持,欢迎常来: )

查看全部评分

pal家族
 楼主| 发表于 2015-11-21 14:33:42 | 显示全部楼层
xyz0703 发表于 2015-11-21 14:32
权限太低不给下~~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Renascence
发表于 2015-11-21 15:03:56 | 显示全部楼层
诺顿扫描必然miss,文件信誉也显示一般,双击了一下某bat,总算看到了SONAR的给力表现


文件名: mozcrt.dll
威胁名称: SONAR.Module!gen3完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015/11/21 ( 14:56:16 )

上次使用时间 
2015/11/21 ( 14:58:30 )

启动项目 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


mozcrt.dll 威胁名称: SONAR.Module!gen3
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzMDU0NXwxODY1MTk1
已下载文件 mozcrt.dll 威胁名称: SONAR.Module!gen3
从 att.kafan.cn
来源: 外部介质

winrar.exe


创建的文件:
mozcrt.dll

____________________________

文件操作

文件: c:\users\XXX\downloads\新价格表\新价格表\ mozcrt.dll 威胁已删除
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
sunnyjianna + 1 还好有唢呐
pal家族 + 1 nice

查看全部评分

fuzhk
发表于 2015-11-21 16:02:01 | 显示全部楼层

拦截DLL

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cwl12315
发表于 2015-11-21 17:05:51 | 显示全部楼层
火绒3,扫描全miss,双击bat,病毒行为防御触发,杀mozcrt.dll及衍生物C:\Documents and Settings\Administrator\Application Data\setbytes\license.dll。
---------------------------------------
这次又杀衍生了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +5 人气 +1 收起 理由
绯色鎏金 + 5 感谢支持,欢迎常来: )
pal家族 + 1 感谢解答: )

查看全部评分

sanhu35
发表于 2015-11-21 20:48:53 | 显示全部楼层
本帖最后由 sanhu35 于 2015-11-21 21:00 编辑

这种结构的文件排列,有经验的人一看就知道的木马 或者 白+黑。

快捷方式+图+DLL+BAT
下列几个文件只有lnk快捷方式是显示的,其他文件都是普通隐藏了。



加密的BAT




运行图标快捷方式后指向Bat文件,调用rundll32.exe  加载 黑 mozcrt.dl 这里阻止了就完事了。



2015-11-21 20:38:43    创建新进程    阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe mozcrt.dll,setbytes -fn PpkzgyuXxofhn
规则: [应用程序]* -> [子应用程序]{受限}系统程序 -> [应用程序]c:\windows\system32\rundll32.exe

========================

允许看看






加载黑DLL

这步阻止也可以搞定他



这个再次释放的DLL 火绒行为报毒

2015-11-21 20:43:57    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Documents and Settings\Administrator\Application Data\setbytes\license.dll
规则: [应用程序组]{受限}系统程序 -> [文件组]保护高危文件




2015-11-21 20:44:05    结束其他进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序]*

持续联网监听
2015-11-21 20:44:10    访问网络    允许
进程: c:\windows\system32\rundll32.exe
目标: TCP [本机 : 1305] ->  [119.135.66.18 : 2627]
规则: [应用程序组]{受限}系统程序 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]



最后黑DLL 联网,火绒报的很清楚。  如果前面没有任何提示,突然蹦出DLL 联网的  就要警惕中木马了















本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +10 人气 +2 收起 理由
sunnyjianna + 1 精品文章
绯色鎏金 + 10 感谢支持,欢迎常来: )
天耀群星 + 1 感谢解答: )

查看全部评分

xyz0703
发表于 2015-11-21 14:32:54 | 显示全部楼层
权限太低不给下~~
ericdj
发表于 2015-11-21 14:38:55 | 显示全部楼层
GD
自家引擎居然拦截下载
[mw_shl_code=css,true]Virus: Win32.Trojan.OnlineGamesLnk.M (Engine B)
File: att_kafan_cn
Directory: C:\Users\*\AppData\Roaming\IDM\DwnlData\Duan Jian\att_kafan_cn_266
Process: IDMan.exe[/mw_shl_code]
xiaofeizei
头像被屏蔽
发表于 2015-11-21 14:40:35 | 显示全部楼层
ericdj 发表于 2015-11-21 14:38
GD
自家引擎居然拦截下载
[mw_shl_code=css,true]Virus: Win32.Trojan.OnlineGamesLnk ...

话说gd新版测试开始了吗?我记得以前这货测试版很早就出来了
狐狸糊涂
发表于 2015-11-21 14:41:57 | 显示全部楼层
过BD扫描
辽宁大连~~小海
发表于 2015-11-21 14:47:22 | 显示全部楼层
唉,我还能说什么呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ericdj
发表于 2015-11-21 14:51:12 | 显示全部楼层
xiaofeizei 发表于 2015-11-21 14:40
话说gd新版测试开始了吗?我记得以前这货测试版很早就出来了

https://beta.gdata.de/teilnehmen
不幸的是,目前没有测试。

然而,如果您与其他用户讨论,或只是想保持你可以喜欢,但这里的Beta论坛注册。

只要输入您的电子邮件地址和下一个你想要的用户名,然后点击“发送”。您将收到我们的电子邮件确认您的帐户使用一个连接器。

评分

参与人数 2经验 +3 人气 +1 收起 理由
绯色鎏金 + 3 感谢解答: )
xiaofeizei + 1 只有德语吧

查看全部评分

275751198
发表于 2015-11-21 15:10:40 | 显示全部楼层
上报360
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 11:34 , Processed in 0.142645 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表