查看: 21872|回复: 95
收起左侧

[可疑文件] File name: d3d10core.dll Comodo全开战斗模式 Vs 神网渗透攻击+加密勒索挂马 毛豆败

  [复制链接]
墨家小子
发表于 2016-3-25 09:47:41 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2016-3-25 10:20 编辑

SHA256:        20e8d966ffdf8ae920d2e23d9987ce84cfe5fb2c60ba64cbb5f0793d0139c6f9
File name:        d3d10core.dll
Detection ratio:        4 / 56

Analysis date:        2016-03-25 01:28:56 UTC ( 0 minutes ago )
https://www.virustotal.com/en/file/20e8d966ffdf8ae920d2e23d9987ce84cfe5fb2c60ba64cbb5f0793d0139c6f9/analysis/1458869336/


AVG        Win32/Heim        20160325
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9963        20160324
Bkav        HW64.packed.1911        20160324
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160325


SHA256:        40345d1a6329ab512836c9d48b53c19e79446c7cd471a00a7b07b10ab393cad8
File name:        TMP7589.exe
Detection ratio:        6 / 55

Analysis date:        2016-03-25 01:32:06 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/40345d1a6329ab512836c9d48b53c19e79446c7cd471a00a7b07b10ab393cad8/analysis/1458869526/


Antivirus        Result        Update
AhnLab-V3        Win-Trojan/Lockycrypt.Gen        20160324
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9999        20160324
ByteHero        Trojan.Win32.Heur.Gen        20160325
Ikarus        Trojan-Ransom.TeslaCrypt4        20160325
McAfee        Ransomware-FHE!A9DFC35511F1        20160325
Qihoo-360        QVM07.1.Malware.Gen        20160325



毛豆全开,并打开增强模式,沙盘开,hips开,别的统统开,开,开……进神网,一会毛豆沙盘把TMP7589.exe拉入沙盘,虚拟化运行,哈哈,你以为这就结束了吗?在此之前,神网已经通过IE完成了对系统程序的注入,IE已经在C:\ProgramData创建随机文件夹并生成木马dll。这一阶段,毛豆对此毫无反应。管理器看到被注入的系统程序纷纷启动,但由于毛豆对cmd进行了虚拟化,被注入的系统程序纷纷报错退出。为了检验防御是不是生效,注销!

注销之后毛豆并未监控到被注入的系统程序在C:\ProgramData内创建文件夹并生成dll木马,这一阶段只是通过管理器看到被注入的系统程序成功被启动,跟未注销前一样,cmd被毛豆虚拟化,所以被注入的系统程序纷纷报错。由于看不到毛豆对于木马dll的监控,打开SSF,事先创建的SSF65文件及文件夹监控规则瞬间报了,regsvr32在C:\ProgramData内创建木马dll文件夹以及木马dll,放行,regsvr32创建成功之后启动taskhost,然后taskhost启动其余系统程序,由于这些系统程序需要用到cmd,所以纷纷报错退出。退出之后,regsvr32重新再来,再来,再来一次,毛豆依旧是毫无反应,只是cmd被虚拟化……

以上,所以不要问我为什么毛豆败了……













本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
kxmp + 1 +1 不知道vse禁运能不能抗住

查看全部评分

墨家小子
 楼主| 发表于 2016-3-25 09:59:47 | 显示全部楼层
本帖最后由 墨家小子 于 2016-3-25 10:13 编辑

补一张录像截图吧,请忽略我的IE背景,居然忘记了一张regsvr32(实际上我们也可以认为这是背后的DLL干的)修改注册表的截图(毛豆没有拦截这个行为,因为它是“系统程序”



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2016-3-25 10:23:22 | 显示全部楼层
d3d10core.dll 是什麼?

d3d10core.dll 是一個系統的DLL檔,在系統Windows 7 Professional Edition Direct3D 10 Runtime中,該檔的描述為 Direct3D 10 Runtime,創建時間為 7/13/2009 4:28:07 PM,檔大小為 190464 比特,版本號為 6.1.7600.16385.

d3d10core.dll 檔很容易被病毒 Dialer:Win32/Accepis所感染,該病毒通過社交網絡 DontStayIn來傳播,並且可以自動地下載和安裝惡意軟體 Scrub xp PRO到所感染的電腦上。

電腦一旦遭受該病毒感染, d3d10core.dll 的檔路徑將會被改為:
C:\WINDOWS\System32\

並且像電腦遊戲 HitmanAbsolution, 瀏覽器RockMelt 0.9.68.1565 或者殺毒軟體McAfee Internet Security 將無法啟動,伴隨著以下的錯誤信息提示
d3d10core.dll 已經丟失或者無法找到

當你啟動電腦,你可能會看到d3d10core.dll 藍屏,並且伴隨著以下錯誤代碼:
0X6340237
dsb2466
头像被屏蔽
发表于 2016-3-25 10:06:12 | 显示全部楼层
楼主。。。。那个网址能发我一下么
liulangzhecgr
发表于 2016-3-25 10:07:38 | 显示全部楼层
可能是采用某大神的通用规则的问题导致的吧?!
注意观察帖子,总觉得过不了我的MD此关,能过的了,恐怕也过不了我的组策略此一关。若过两个关,酒杯句。
墨家小子
 楼主| 发表于 2016-3-25 10:10:00 | 显示全部楼层
liulangzhecgr 发表于 2016-3-25 10:07
可能是采用某大神的通用规则的问题导致的吧?!
注意观察帖子,总觉得过不了我的MD此关,能过的了,恐怕也 ...

我就是默认规则,表误导,只是开启了增强模式,别的全开,云鉴定也开了哦
dsb2466
头像被屏蔽
发表于 2016-3-25 10:14:01 | 显示全部楼层
3Q,网址找到了
墨家小子
 楼主| 发表于 2016-3-25 10:16:29 | 显示全部楼层

聪明的孩子,样本区不让发毒网的哦
记住SS全局,一次不行,切换IP,一定要清空IE缓存
MXCERILYF!
发表于 2016-3-25 10:19:58 | 显示全部楼层
Avira

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liulangzhecgr
发表于 2016-3-25 10:23:32 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2016-3-25 10:30 编辑
墨家小子 发表于 2016-3-25 10:10
我就是默认规则,表误导,只是开启了增强模式,别的全开,云鉴定也开了哦


觉得只看标题,毛豆区不少人会反驳吧!
样本区的样本双击测试我觉得已经差不多没有实际意义。最近有点儿对网页挂马感兴趣,因为他是全部自动化进程不必人工处理【-本人理解】。
漏洞攻击此说法,只是理论上来理解,并没有亲身体验。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:56 , Processed in 0.141485 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表