Detection ratio: 8 / 56 IDP+SSF（关闭系统防护和防火墙）组合 Vs 神网攻击 测试二

墨家小子

SHA256:        fa0de4afb4969b1400fc3788e032ee0ddf77f706420c7af47da0c953a5f10374
File name:        cjcdem.exe
Detection ratio:        8 / 56
Analysis date:        2016-03-20 08:27:19 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/fa0de4afb4969b1400fc3788e032ee0ddf77f706420c7af47da0c953a5f10374/analysis/1458462439/

Avast        Win32:Malware-gen        20160320
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9999        20160318
Bkav        HW32.Packed.CDFA        20160319
McAfee        Suspect-AN!2BA1A825F199        20160320
McAfee-GW-Edition        BehavesLike.Win32.Virut.fc        20160319
Qihoo-360        QVM20.1.Malware.Gen        20160320
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160320
Symantec        Suspicious.Cloud.5        20160320

说明：测试所有挂马网页均为同一挂马网页，但会出现不同行为攻击行为。前两次，分别测试ESET+SSF以及IDP单独环境下对于不同的攻击行为的防御能力
http://bbs.kafan.cn/thread-2033836-1-1.html
http://bbs.kafan.cn/thread-2033829-1-1.html

这一次，给大家带来的是IDP+SSF（关闭系统防护和防火墙）组合情况下（实际上就是看IDP的防御），对于该挂马网页出现的混合攻击行为的防御能力

进入挂马网页之后，不久IDP拦截木马，别以为这就结束了，还早着呢，木马在一个阴冷的角落说道



看管理器中已经出现的taskhost.exe，我菊花一紧暗道大事不好，随后出现的情况证明了我的预言能力绝对值得你算一卦给我五十块钱的





既然木马已经被IDP干掉了，出现的异常系统程序注销之后会不会出现？它们还会有什么行为吗？于是注销，回来之后，IDP不停杀，杀，杀，终于杀到了那个躲在阴影中的DLL文件，但问题是，它是谁带来的，不管了，先杀再说








杀了很久，不停的杀，终于不杀了，那我就再注销一次看看吧。注销回来之后，呵呵，自己看吧，管理器里都有什么，IDP又开始了不停的杀，杀，杀……老子也是够够的，遂，重启，开始影子还原大法







Identity Protection 侦测
威胁名称;"状态";"检测时间";"对象类型";"进程"

常规行为检测, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{76600D7A-9302-43DB-8F55-3755D89B99BD}\CRYPT32.DLL;"已保护";"2016/3/20, 15:28:47";"文件或目录";""

常规行为检测, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{6B71007E-DA84-40FB-8F28-3482AAAECAF7}\WPCCPL.DLL;"已保护";"2016/3/20, 15:24:59";"文件或目录";""

常规行为检测, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{6E9A6153-BF73-45B8-81C9-51BDC03F44BA}\XRWPPB4.DLL;"已保护";"2016/3/20, 15:46:48";"文件或目录";""

IDP.SEMS.A17, C:\Users\f\Documents\cjcdem.exe;"已保护";"2016/3/20, 15:10:44";"文件或目录";""
IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{2DDF843D-A8CE-4662-807F-03FB564C467A}\MSOEACCT.DLL;"已保护";"2016/3/20, 15:21:11";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{552D8CC1-4CD2-4AFF-8F5A-F1F9462A839A}\HAL.DLL;"已保护";"2016/3/20, 15:21:35";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{5A1E5AC1-1330-482A-8CC6-E296DA60C863}\KSUSER.DLL;"已保护";"2016/3/20, 15:22:13";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{A48B736D-623C-445E-A0D2-4736DFD0AA79}\FWCFG.DLL;"已保护";"2016/3/20, 15:23:42";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{2EE5FF5A-3ADE-49E2-9A8E-FA880247747C}\MPR.DLL;"已保护";"2016/3/20, 15:18:32";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{9038F99E-3D72-49C1-B413-E964FA2EB8AF}\LOCALUI.DLL;"已保护";"2016/3/20, 15:19:51";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{206065CA-9CAA-4E63-A055-4A42AE9DFE54}\RTM.DLL;"已保护";"2016/3/20, 15:25:35";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{7A56B627-730D-45AF-99F0-A76387EE3D35}\NTLANMAN.DLL;"已保护";"2016/3/20, 15:27:27";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{9CAAB1D8-609D-48BD-95DC-FAB003700AD7}\UMPO.DLL;"已保护";"2016/3/20, 15:29:13";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{BF5FB783-5330-471B-96EF-D938073429A6}\POWERCPL.DLL;"已保护";"2016/3/20, 15:43:42";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{A83B6E8E-2A4E-431A-986A-E6AC62F892E9}\SPNET.DLL;"已保护";"2016/3/20, 15:44:53";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{3FEF5543-E61F-4670-8E48-B53E14718E57}\WMDRMNET.DLL;"已保护";"2016/3/20, 15:46:09";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{87018524-10B1-4D7D-9EC6-C6EF5CB490F3}\MF.DLL;"已保护";"2016/3/20, 15:24:17";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{AE6C2EF9-F52D-4F6C-8CBA-0506DF4BBD0A}\FNTCACHE.DLL;"已保护";"2016/3/20, 15:48:03";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{67876E9D-D1A0-4F99-B5EC-809DC390862D}\WCNWIZ.DLL;"已保护";"2016/3/20, 15:48:14";"文件或目录";""

IDP.ALEXA.51, C:\PROGRAMDATA\WINDOWS GENUINE ADVANTAGE\{E30721DA-42F0-4B13-A4F0-F74CA9E63F8F}\ATL.DLL;"已保护";"2016/3/20, 15:48:49";"文件或目录";""

windows7爱好者

@aboringman
看来IDP吃败仗了啊
为什么现在跟本无法@成功

MXCERILYF!

毒霸本地启发

几分钟后云启发报毒

saga3721

红伞云查杀'TR/Crypt.ZPACK.Gen2 (Cloud)' [trojan]

aboringman

AVG：

扫描：miss；

双击：实机双击，IDP击杀之。（【又现ARES】）

"";"IDP.ARES.Generic, C:\Users\killer\Desktop\cjcdem.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/3/20, 16:39:52"

"";", C:\Users\killer\Documents\dcscqn.exe";"Object was blocked";"Process";"2016/3/20, 16:39:52"

"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/3/20, 16:39:52"

"";", C:\Windows\System32\vssadmin.exe";"Object was blocked";"Process";"2016/3/20, 16:39:52"

"";", C:\Users\killer\Documents\dcscqn.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/3/20, 16:39:52"

"";", HKEY_USERS\.DEFAULT\SOFTWARE\TRUEIMG";"Deleted, Moved to Virus Vault";"Registry key";"2016/3/20, 16:39:52"

"";", HKEY_USERS\S-1-5-21-3895625976-2995373382-4201264068-1000\SOFTWARE\69AA6C9091697F8";"Deleted, Moved to Virus Vault";"Registry key";"2016/3/20, 16:39:52"

"";", HKEY_USERS\S-1-5-21-3895625976-2995373382-4201264068-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\_AIGX";"Deleted, Moved to Virus Vault";"Registry value";"2016/3/20, 16:39:52"

"";", C:\Users\killer\Desktop\cjcdem.exe";"Object was blocked";"Process";"2016/3/20, 16:39:52"

我这里没有出现重复杀的情况，请楼主PM一下地址给我，我重启后进去看看。

aboringman

windows7爱好者 发表于 2016-3-20 16:36
@aboringman
看来IDP吃败仗了啊
为什么现在跟本无法@成功

我这边没有问题。

icedream89

eset依旧云拉黑~~~
需要我开BD去溜一溜么~~~~~

windows7爱好者

aboringman 发表于 2016-3-20 16:45
我这边没有问题。

楼主的意思是漏洞攻击比双击要危险的多，不似双击那么好拦截

aboringman

windows7爱好者 发表于 2016-3-20 16:48
楼主的意思是漏洞攻击比双击要危险的多，不似双击那么好拦截

所以我才要进那个网址看看啊。。。。。。

墨家小子

icedream89 发表于 2016-3-20 16:48
eset依旧云拉黑~~~
需要我开BD去溜一溜么~~~~~

IDP已经败了，声纳昨天就投降了，SSF输了好几次，目前只有ESET 的HIPS能防御，话说谁能拦截注入谁是老大啊
估计BD主防也够呛，你看截图，一旦注入到系统程序里去，就算你杀了DLL，它还会一次又一次的回来，你只能杀了一次又一次