穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)

显示全部楼层 · 发表于 2011-10-11 20:40:21

hddu 发表于 2011-10-3 20:49
2011-10-03 20:47:37 创建注册表值操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundl ...

开始还以为没什么，看看命令行才发现···

显示全部楼层 · 发表于 2011-10-12 11:19:59

mse kill

显示全部楼层 · 发表于 2011-10-13 08:43:41

2011-10-13 08:40:55 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" shell32.dll,Control_RunDLL "C:\Documents and Settings\Administrator\桌面\1\IMG_27092011_141340_JPG[1].cpl",
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\rundll32.exe

2011-10-13 08:41:00 创建新进程阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\sc.exe
命令行: SC stop AVGIDSAgent
规则: [应用程序组]｛特权｝系统程序 -> [子应用程序]『禁运』黑名单

这是关键动作，如果MD能直接显示 .CPL 运行就更完美了

显示全部楼层 · 发表于 2011-10-15 21:30:41

Tron 发表于 2011-10-9 20:15
360云kill

免杀后360云主防拦截

如果能显示是样本发起的这个修改动作，用户更容易选择，那就更好了。

显示全部楼层 · 发表于 2011-10-15 23:04:38

jefffire 发表于 2011-10-15 21:30
如果能显示是样本发起的这个修改动作，用户更容易选择，那就更好了。

恩，但是那里显示一个DLL或CPL不是会很怪嘛，也没有图标，当然高端用户能懂。

显示全部楼层 · 发表于 2011-10-15 23:11:23

Tron 发表于 2011-10-15 23:04
恩，但是那里显示一个DLL或CPL不是会很怪嘛，也没有图标，当然高端用户能懂。

确实有点奇怪。不过可以这么写
来源 X:\XXXXX.cpl =>C:\Windows\system32\rundll32.exe

显示全部楼层 · 发表于 2011-10-15 23:25:32

Tron 发表于 2011-10-15 23:04
恩，但是那里显示一个DLL或CPL不是会很怪嘛，也没有图标，当然高端用户能懂。

还有个问题，360没有显示命令行参数

显示全部楼层 · 发表于 2011-10-15 23:36:49

jefffire 发表于 2011-10-15 23:25
还有个问题，360没有显示命令行参数

Sinowal/Mebroot 系列dll 網馬，360該不會也把父進程看成是 regsvr32.exe 吧？

[病毒样本] 穿破 comodo 5.8 RC2 的樣本(所有殺軟可殺，掃描黨免進)