网购木马（十五）

firefox3

lbb9432 发表于 2012-4-2 19:08
不知道 没样本 群里面貌似测试过 不知道现在咋样了

http://bbs.kafan.cn/thread-1256887-1-1.html

z13667152750

yhjtj 发表于 2012-4-2 16:53
奇怪了，mj不是说了网盾可以联动的么，杀未知白加黑很轻松的，怎么是未知呢？

网盾未知主防一样拦截

网盾还是基于特征码

我说过无数次了,只要网盾检测到样本从网上下载的,360主防就可以正常拦截白加黑,不需要网盾报毒,即使网盾报未知,主防也可以,而且是杀dll,不是杀exe

mj也一直是这个意思,为什么你一直不理我的解释,以及我举出的leisong过去测试的例子?

杀exe的的云端交互拦截的,不是网盾联动的主防拦截的

yhjtj

z13667152750 发表于 2012-4-2 19:16
网盾未知主防一样拦截

网盾还是基于特征码

好了，更新了视频，看看吧

lbb9432

firefox3 发表于 2012-4-2 19:09
http://bbs.kafan.cn/thread-1256887-1-1.html

好吧 只报了一个

firefox3

lbb9432 发表于 2012-4-2 19:30
好吧 只报了一个

晕，不敢用了

lf29a

一双情缘 发表于 2012-4-2 18:09
卡巴

没测主防？

ywsuda

完整路径: c:\sandbox\ww\defaultbox\drive\c\program files\a\synec.txt
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012/4/2 ( 19:51:39 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\sandbox\ww\defaultbox\drive\c\program files\a\synec.txt
已删除
____________________________
文件指纹 - SHA:
12e3d2efc67288bfe29067f627343b6483d1e6d4b8c8b9a43b4c081ffb2a3369
____________________________
文件指纹 - MD5:
fc759e22f687af40893a0e984ad370ff
____________________________

一双情缘

lf29a 发表于 2012-4-2 19:48
没测主防？

不敢实机测

风雪冰天

双击运行  被瑞星扫描发现了

sanhu35

不给权限运行，不加入组

2012-4-2 20:40:36    创建文件夹    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\Program Files\a
规则: [文件组]只读磁盘 -> [文件]c:\*

2012-4-2 20:40:36    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\xiangxi.dat
规则: [文件组]只读磁盘 -> [文件]c:\*

2012-4-2 20:40:36    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\kso10.dll
规则: [文件组]只读磁盘 -> [文件]c:\*

2012-4-2 20:40:36    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\ScreenWB.exe
规则: [文件组]只读磁盘 -> [文件]c:\*

2012-4-2 20:40:36    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies*

2012-4-2 20:40:36    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [注册表组]重要设置 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies*
=============================

加入病毒测试组。

2012-4-2 20:43:20    加载动态链接库    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: c:\documents and settings\administrator\桌面\transerr\kso10.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

2012-4-2 20:43:22    创建文件夹    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\Program Files\a
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012-4-2 20:43:23    创建文件    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\xiangxi.dat
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-4-2 20:43:25    创建文件    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\kso10.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2012-4-2 20:43:26    创建文件    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\ScreenWB.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]秒杀写入

2012-4-2 20:43:29    创建文件    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: C:\Program Files\a\synec.txt
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012-4-2 20:44:05    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1b55460a-c650-4bb7-ad7a-63a629dc7d3a}
规则: [应用程序组]『询问』病毒测试 -> [注册表组]恶意篡改 -> [注册表]*\SOFTWARE\Policies\Microsoft\Windows\Safer*

2012-4-2 20:44:13    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表组]恶意篡改 -> [注册表]*\SOFTWARE\Policies\Microsoft\Windows\Safer*

2012-4-2 20:44:18    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: c:\windows\system32\calc.exe
命令行: "C:\windows\system32\calc.exe"
规则: [应用程序组]『询问』病毒测试

2012-4-2 20:44:22    修改其他进程的内存    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: c:\windows\system32\calc.exe
规则: [应用程序组]『询问』病毒测试

2012-4-2 20:44:22    向其他进程发送消息    阻止
进程: d:\program files\tencent\qq\bin\qq.exe
目标: c:\program files\avira\antivir personaledition premium\avgnt.exe
消息: WM_GETTEXT
规则: [应用程序组]【授权】低限制组 -> [目标应用程序]【授权】可信任组 -> [应用程序]?:\program files\avira\*.exe

2012-4-2 20:44:28    修改其他进程的内存 (6)    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: c:\windows\system32\calc.exe
规则: [应用程序组]『询问』病毒测试

2012-4-2 20:44:29    修改其他进程的线程    允许
进程: c:\documents and settings\administrator\桌面\transerr\transerr.exe
目标: c:\windows\system32\calc.exe
规则: [应用程序组]『询问』病毒测试

2012-4-2 20:44:29    结束其他进程    阻止并结束进程
进程: c:\windows\system32\calc.exe
目标: e:\program files\maxthon3\bin\maxthon.exe
规则: [应用程序]* -> [目标应用程序]进程保护