问问5.3

显示全部楼层 · 发表于 2011-10-24 11:48:28

本帖最后由墨池于 2011-10-24 11:51 编辑

a256886572008 发表于 2011-10-24 10:42
咖啡看到的父進程，應該是 rundll32.exe 吧？

这家伙一路小跑就过了毛豆5.4，咖啡默认规则也过了。这家伙不仅伪装文件名，还能伪装路径，咖啡一条规则搞定：

2011-10-24 11:32:10 已由访问保护规则禁止 CNU-55E795EB311\* C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe 用户定义的规则:新规则已阻止的操作: 读取

从咖啡规则调整中还能看出，它还能直接成功调用毛豆进程多个。

不过这病毒在实际应用中倒是不用担心，下载就被FS删了，关闭FS实时监控，下载完毕金山网盾也报了。

显示全部楼层 · 发表于 2011-10-24 11:50:27

墨池发表于 2011-10-24 11:48
这家伙一路小跑就过了毛豆5.4，咖啡默认规则也过了。这家伙不仅伪装文件名，还能伪装路径，咖啡一条规则搞 ...

显示的名字还是rundlll32.exe.

显示全部楼层 · 发表于 2011-10-24 11:51:11

都去用咖啡吧，规则简单而凶悍，嘿嘿，开个玩笑！

显示全部楼层 · 发表于 2011-10-24 11:54:11

本帖最后由墨池于 2011-10-24 11:55 编辑

紫涵发表于 2011-10-24 11:50
显示的名字还是rundlll32.exe.

是的，而且是C:\WINDOWS\system32\rundll32.exe。Win7任务管理器中才显示的是原路径。所以实际上咖啡也被骗了，所以需要专门设置规则才能防御。

显示全部楼层 · 发表于 2011-10-24 11:57:53

我猜測，下個穿破 comodo ，可能就是利用mmc.exe 的 .msc文件。

显示全部楼层 · 发表于 2011-10-24 11:59:54

我曾经用3.14实机测试过，由于我的资源管理器设置了不经弹窗就可以运行rundll32.exe，但最终还是能在木马想连网前拦截，稍懂常识的人，根本不用担心。

显示全部楼层 · 发表于 2011-10-24 12:00:02

墨池发表于 2011-10-24 11:48
这家伙一路小跑就过了毛豆5.4，咖啡默认规则也过了。这家伙不仅伪装文件名，还能伪装路径，咖啡一条规则 ...

1.這條規則根本沒用，平常正常操作時，就會有這動作。

2.都是老毒了，當然能殺。

显示全部楼层 · 发表于 2011-10-24 12:01:51

墨池发表于 2011-10-24 11:54
是的，而且是C:\WINDOWS\system32\rundll32.exe。Win7任务管理器中才显示的是原路径。所以实际上咖啡也 ...

如果下次用的是系统最核心的进程...

显示全部楼层 · 发表于 2011-10-24 12:09:06

a256886572008 发表于 2011-10-24 11:57
我猜測，下個穿破 comodo ，可能就是利用mmc.exe 的 .msc文件。

那不就是说命令行检测被骗了。

显示全部楼层 · 发表于 2011-10-24 12:11:17

紫涵发表于 2011-10-24 12:09
那不就是说命令行检测被骗了。

因為，我發現不管運行系統中哪個 .msc，顯示的進程都是 mmc.exe。

不過，目前還沒發現有 .msc 這類型的病毒。

[求助] 问问5.3