盗号木马（七）

显示全部楼层 · 发表于 2012-3-26 15:26:40

TO avg

显示全部楼层 · 发表于 2012-3-26 15:32:49

本帖最后由 yhjtj 于 2012-3-26 15:45 编辑

这个病毒太牛了吧，微软签名啊Microsoft Corporation，我靠！
占楼测试
md和ssf双开测试，md日志：
2012-3-26 15:38:22 创建新进程允许
进程: c:\windows.0\explorer.exe
目标: c:\documents and settings\administrator.china-3d80b4853\桌面\2012相册.exe
命令行: "C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\2012相册.exe"
规则: [应用程序]c:\windows.0\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]c:\documents and settings\administrator.china-3d80b4853\桌面\2012相册.exe

2012-3-26 15:38:41 修改注册表值阻止
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\2012相册.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
值: C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\2012相册.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*

2012-3-26 15:38:59 向其他进程发送消息 (2) 允许（获取窗口信息，修改支付数据？）
进程: c:\documents and settings\administrator.china-3d80b4853\桌面\2012相册.exe
目标: c:\windows.0\system32\taskmgr.exe
消息: WM_GETTEXT
规则: [应用程序组]『询问』病毒测试

ssf日志：
2012-3-26 15:38:22,C:\WINDOWS.0\explorer.exe,53,Allowed ;启动一个应用程序 (C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\2012相册.exe)
2012-3-26 15:38:28,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\2012相册.exe,40,Blocked ;打开其它进程并获取修改权限 (<pid=4>)

模块 2012相册.exe (pid=796)
试图打开进程 System [pid=4] 并获取修改它的权限
这是一种典型的远程DLL注入行为
类型: 40
高级信息: 16,4,2035711
允许这个可疑的动作吗?

2012-3-26 15:38:52,C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\2012相册.exe,25,Allowed ;从其它程序中抓取文字

显示全部楼层 · 发表于 2012-3-26 15:33:16

江民没报

显示全部楼层 · 发表于 2012-3-26 15:56:46

红伞miss，to

显示全部楼层 · 发表于 2012-3-26 16:22:10

看了22L的日志
觉得数字应该可以防止注入的~~

显示全部楼层 · 发表于 2012-3-26 16:26:11

倾枫锝渔♂ 发表于 2012-3-26 16:22
看了22L的日志
觉得数字应该可以防止注入的~~

在虚拟机里试了试，IDP和TF都未拦截。
用360扫描时发现报的路径很奇怪，一段完整的路径分成了好几截：

显示全部楼层 · 发表于 2012-3-26 17:01:21

倾枫锝渔♂ 发表于 2012-3-26 16:22
看了22L的日志
觉得数字应该可以防止注入的~~

数字已沦陷，http://bbs.kafan.cn/forum.php?mo ... id=1255056#lastpost

显示全部楼层 · 发表于 2012-3-26 17:12:47

humanlwj52 发表于 2012-3-26 16:26
在虚拟机里试了试，IDP和TF都未拦截。
用360扫描时发现报的路径很奇怪，一段完整的路径分成了好几截：

看来tf也不是很强大哇~~呵呵 ~

显示全部楼层 · 发表于 2012-3-26 17:14:05

yhjtj 发表于 2012-3-26 17:01
数字已沦陷，http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1255056#lastpost

请你看下 8、10、15~~难道反沙箱？

显示全部楼层 · 发表于 2012-3-26 17:15:20

过avast

[病毒样本] 盗号木马（七）

评分

本帖子中包含更多资源