測主防，TDSS rootkit

显示全部楼层 · 发表于 2011-9-22 11:28:29

还是tdl4

显示全部楼层 · 发表于 2011-9-22 12:17:32

卡巴杀~
HEUR:Trojan.Win32.Generic

显示全部楼层 · 发表于 2011-9-22 12:29:14

saga3721 发表于 2011-9-22 09:30
关闭打印服务OP全防TDSS加驱，开启服务则spool被注入，但可防止被注入后的直接磁盘访问和联网
楼主漏了个注 ...

OP 這樣不行呀，90% 以上用戶都會點允許的。

spoolsv.exe 是安全程序

显示全部楼层 · 发表于 2011-9-22 14:39:24

a256886572008 发表于 2011-9-22 12:29
OP 這樣不行呀，90% 以上用戶都會點允許的。

spoolsv.exe 是安全程序

你这是为comodo报仇吗

如果还开启着服务是有这风险，微点遇上更苦呢没得选择就重启黑屏了……OA好像能提示注入的

显示全部楼层 · 发表于 2011-9-22 14:46:25

本帖最后由 a256886572008 于 2011-9-22 14:48 编辑

saga3721 发表于 2011-9-22 14:39
你这是为comodo报仇吗
如果还开启着服务是有这风险，微点遇上更苦呢没得选择就重启黑屏了……OA好 ...

OA 的提示重點是 target，和別家不一樣，所以才能放心讓 spoolsv.exe 被注入。

comodo 靠這一條 COM規則攔截 spoolsv.exe 被注入

*\RPC Control\spoolss

显示全部楼层 · 发表于 2011-9-22 15:20:21

a256886572008 发表于 2011-9-22 14:46
OA 的提示重點是 target，和別家不一樣，所以才能放心讓 spoolsv.exe 被注入。

comodo 靠這一條 CO ...

啥放心让注入啊，OA是拦截到了注入的行为而OP拦截不到
主防啊，你这上规则了还是主防吗？

显示全部楼层 · 发表于 2011-9-22 16:27:35

Trojan.Generic.KD.361514 (引擎A)

显示全部楼层 · 发表于 2011-9-23 00:23:19

本帖最后由 hx1997 于 2011-9-23 00:23 编辑

看来注入了spoolsv.exe，不知怎么弄的。

2011-9-23 0:21:19 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\setup2233454080.exe 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations 已阻止 040.HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2011-9-23 0:21:19 C:\WINDOWS\system32\spoolsv.exe 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\Order 已阻止 032.%windir%\system32\spoolsv.exe>HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Print\Providers

2011-9-23 0:21:19 C:\Documents and Settings\Administrator\桌面\1.exe 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations 已阻止 040.HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2011-9-23 0:21:18 C:\WINDOWS\system32\spoolsv.exe 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers\Order 已阻止 032.%windir%\system32\spoolsv.exe>HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Print\Providers

显示全部楼层 · 发表于 2011-9-23 07:22:26

OA可在开启打印机服务的情况下提示拦截注入很厉害吧？其实实用性不行，肯定不如OP，现阶段还是只能对照测病毒而
已

显示全部楼层 · 发表于 2011-9-23 08:02:45

本帖最后由 a256886572008 于 2011-9-23 08:05 编辑

saga3721 发表于 2011-9-23 07:22
OA可在开启打印机服务的情况下提示拦截注入很厉害吧？其实实用性不行，肯定不如OP，现阶段还是只能对照测病 ...

注入spoolsv.exe，這功能，正常程序也會用到，例如：IE 要打印網頁時。

2011-09-23 08:02:40 C:\Program Files\Internet Explorer\IEXPLORE.EXE Sandboxed As Partially Limited

2011-09-23 08:02:54 C:\Program Files\Internet Explorer\IEXPLORE.EXE Access Memory C:\WINDOWS\system32\ctfmon.exe

2011-09-23 08:03:06 C:\Program Files\Internet Explorer\IEXPLORE.EXE Access COM Interface \RPC Control\spoolss

[病毒样本] 測主防，TDSS rootkit

本帖子中包含更多资源

浏览过的版块