File name: d3d10core.dll Comodo全开战斗模式 Vs 神网渗透攻击+加密勒索挂马 毛豆败

墨家小子

SHA256:        20e8d966ffdf8ae920d2e23d9987ce84cfe5fb2c60ba64cbb5f0793d0139c6f9
File name:        d3d10core.dll
Detection ratio:        4 / 56
Analysis date:        2016-03-25 01:28:56 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/20e8d966ffdf8ae920d2e23d9987ce84cfe5fb2c60ba64cbb5f0793d0139c6f9/analysis/1458869336/

AVG        Win32/Heim        20160325
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9963        20160324
Bkav        HW64.packed.1911        20160324
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160325

SHA256:        40345d1a6329ab512836c9d48b53c19e79446c7cd471a00a7b07b10ab393cad8
File name:        TMP7589.exe
Detection ratio:        6 / 55
Analysis date:        2016-03-25 01:32:06 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/40345d1a6329ab512836c9d48b53c19e79446c7cd471a00a7b07b10ab393cad8/analysis/1458869526/

Antivirus        Result        Update
AhnLab-V3        Win-Trojan/Lockycrypt.Gen        20160324
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9999        20160324
ByteHero        Trojan.Win32.Heur.Gen        20160325
Ikarus        Trojan-Ransom.TeslaCrypt4        20160325
McAfee        Ransomware-FHE!A9DFC35511F1        20160325
Qihoo-360        QVM07.1.Malware.Gen        20160325


毛豆全开，并打开增强模式，沙盘开，hips开，别的统统开，开，开……进神网，一会毛豆沙盘把TMP7589.exe拉入沙盘，虚拟化运行，哈哈，你以为这就结束了吗？在此之前，神网已经通过IE完成了对系统程序的注入，IE已经在C:\ProgramData创建随机文件夹并生成木马dll。这一阶段，毛豆对此毫无反应。管理器看到被注入的系统程序纷纷启动，但由于毛豆对cmd进行了虚拟化，被注入的系统程序纷纷报错退出。为了检验防御是不是生效，注销！

注销之后毛豆并未监控到被注入的系统程序在C:\ProgramData内创建文件夹并生成dll木马，这一阶段只是通过管理器看到被注入的系统程序成功被启动，跟未注销前一样，cmd被毛豆虚拟化，所以被注入的系统程序纷纷报错。由于看不到毛豆对于木马dll的监控，打开SSF，事先创建的SSF65文件及文件夹监控规则瞬间报了，regsvr32在C:\ProgramData内创建木马dll文件夹以及木马dll，放行，regsvr32创建成功之后启动taskhost，然后taskhost启动其余系统程序，由于这些系统程序需要用到cmd，所以纷纷报错退出。退出之后，regsvr32重新再来，再来，再来一次，毛豆依旧是毫无反应，只是cmd被虚拟化……

以上，所以不要问我为什么毛豆败了……

墨家小子

补一张录像截图吧，请忽略我的IE背景，居然忘记了一张regsvr32（实际上我们也可以认为这是背后的DLL干的）修改注册表的截图（毛豆没有拦截这个行为，因为它是“系统程序” ）

墨家小子

d3d10core.dll 是什麼?

d3d10core.dll 是一個系統的DLL檔，在系統Windows 7 Professional Edition Direct3D 10 Runtime中，該檔的描述為 Direct3D 10 Runtime，創建時間為 7/13/2009 4:28:07 PM，檔大小為 190464 比特，版本號為 6.1.7600.16385.

d3d10core.dll 檔很容易被病毒 Dialer:Win32/Accepis所感染，該病毒通過社交網絡 DontStayIn來傳播，並且可以自動地下載和安裝惡意軟體 Scrub xp PRO到所感染的電腦上。

電腦一旦遭受該病毒感染, d3d10core.dll 的檔路徑將會被改為:
C:\WINDOWS\System32\

並且像電腦遊戲 HitmanAbsolution, 瀏覽器RockMelt 0.9.68.1565 或者殺毒軟體McAfee Internet Security 將無法啟動，伴隨著以下的錯誤信息提示
d3d10core.dll 已經丟失或者無法找到

當你啟動電腦，你可能會看到d3d10core.dll 藍屏，並且伴隨著以下錯誤代碼:
0X6340237

dsb2466

楼主。。。。那个网址能发我一下么

liulangzhecgr

可能是采用某大神的通用规则的问题导致的吧？！
注意观察帖子，总觉得过不了我的MD此关，能过的了，恐怕也过不了我的组策略此一关。若过两个关，酒杯句。

墨家小子

liulangzhecgr 发表于 2016-3-25 10:07
可能是采用某大神的通用规则的问题导致的吧？！
注意观察帖子，总觉得过不了我的MD此关，能过的了，恐怕也 ...

我就是默认规则，表误导，只是开启了增强模式，别的全开，云鉴定也开了哦

dsb2466

3Q，网址找到了

墨家小子

dsb2466 发表于 2016-3-25 10:14
3Q，网址找到了

聪明的孩子，样本区不让发毒网的哦
记住SS全局，一次不行，切换IP，一定要清空IE缓存

MXCERILYF!

Avira

liulangzhecgr

墨家小子 发表于 2016-3-25 10:10
我就是默认规则，表误导，只是开启了增强模式，别的全开，云鉴定也开了哦

觉得只看标题，毛豆区不少人会反驳吧！
样本区的样本双击测试我觉得已经差不多没有实际意义。最近有点儿对网页挂马感兴趣，因为他是全部自动化进程不必人工处理【-本人理解】。
漏洞攻击此说法，只是理论上来理解，并没有亲身体验。