楼主: a256886572008
收起左侧

[病毒样本] 穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺,掃描黨免進)

[复制链接]
qqq123123
发表于 2011-10-11 20:40:21 | 显示全部楼层
hddu 发表于 2011-10-3 20:49
2011-10-03 20:47:37    创建注册表值      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundl ...

开始还以为没什么,看看命令行才发现···
qianyuqx
头像被屏蔽
发表于 2011-10-12 11:19:59 | 显示全部楼层
mse kill
sanhu35
发表于 2011-10-13 08:43:41 | 显示全部楼层
2011-10-13 08:40:55    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" shell32.dll,Control_RunDLL "C:\Documents and Settings\Administrator\桌面\1\IMG_27092011_141340_JPG[1].cpl",
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\rundll32.exe

2011-10-13 08:41:00    创建新进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC stop AVGIDSAgent
规则: [应用程序组]{特权}系统程序 -> [子应用程序]『禁运』黑名单


这是关键动作,如果MD能直接显示 .CPL 运行就更完美了
jefffire
头像被屏蔽
发表于 2011-10-15 21:30:41 | 显示全部楼层
Tron 发表于 2011-10-9 20:15
360云kill

免杀后360云主防拦截

如果能显示是样本发起的这个修改动作,用户更容易选择,那就更好了。
Tron
头像被屏蔽
发表于 2011-10-15 23:04:38 | 显示全部楼层
jefffire 发表于 2011-10-15 21:30
如果能显示是样本发起的这个修改动作,用户更容易选择,那就更好了。

恩,但是那里显示一个DLL或CPL不是会很怪嘛,也没有图标,当然高端用户能懂。
jefffire
头像被屏蔽
发表于 2011-10-15 23:11:23 | 显示全部楼层
Tron 发表于 2011-10-15 23:04
恩,但是那里显示一个DLL或CPL不是会很怪嘛,也没有图标,当然高端用户能懂。

确实有点奇怪。不过可以这么写
来源   X:\XXXXX.cpl  =>C:\Windows\system32\rundll32.exe
jefffire
头像被屏蔽
发表于 2011-10-15 23:25:32 | 显示全部楼层
Tron 发表于 2011-10-15 23:04
恩,但是那里显示一个DLL或CPL不是会很怪嘛,也没有图标,当然高端用户能懂。

还有个问题,360没有显示命令行参数
a256886572008
 楼主| 发表于 2011-10-15 23:36:49 | 显示全部楼层
jefffire 发表于 2011-10-15 23:25
还有个问题,360没有显示命令行参数

Sinowal/Mebroot 系列dll 網馬,360該不會也把父進程看成是 regsvr32.exe 吧?

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 21:37 , Processed in 0.093054 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表