网购木马（三二半）

yhjtj

LockeHIPS 发表于 2012-4-20 14:42
不能，目前除了国产的针对协议做解析了，就只有沙箱类，而且是完全阻断对外的RPC和WINDOWS消息才能拦截， ...

还有，你说国外这些不能防护，是做过测试后得出的结论，还是信口一说呢？

左手

2012-4-20 16:35:12    创建注册表项    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\etloader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2012-4-20 16:35:27    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\etloader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2012-4-20 16:35:35    创建注册表项    阻止
进程: c:\documents and settings\administrator\桌面\etloader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2012-4-20 16:35:42    创建注册表项    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\etloader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1b55460a-c650-4bb7-ad7a-63a629dc7d3a}
规则: [注册表组]r010_行为防御 -> [注册表]HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\*

Killer_cg

KIS好象没有反应呢

liwnpin

360杀

绅博周幸

STOP! Bitdefender blocked this web page.





The page you are trying to access contains malware.


Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTYxMTg2OHw...
Detected viruses: Trojan.Generic.KDV.604253



Access from your browser has been blocked.

Take me back to safety

wjcharles

win7 x64 运行出错。。。




一个小时后恶意dll被云杀


完整路径: c:\users\sshss\downloads\32.5\etcomm.dll
威胁: WS.Malware.1
____________________________
____________________________
在电脑上的创建时间 2012/4/21 ( 0:04:08 )
上次使用时间 2012/4/21 ( 1:13:23 )
启动项目 否
已启动 否
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________


源文件:
winrar.exe

创建的文件:
etcomm.dll
____________________________
文件操作
受感染文件: c:\Users\ssHss\downloads\32.5\ETComm.dll
需要重新启动
____________________________
文件指纹 - SHA:
dc3a86d59fe69a9b813ec7f556aba3bbfcb67b550b208745fd2eceb938d78c64
____________________________
文件指纹 - MD5:
d61145fe10528a7bb16c28d5702fffa4
____________________________

zuoleaf

绅博周幸 发表于 2012-4-20 22:19
STOP! Bitdefender blocked this web page.

是啊是啊，强力的比特梵德网页拦截

xiuzhiguo

to

guidanba

zuoleaf 发表于 2012-4-21 12:53
是啊是啊，强力的比特梵德网页拦截

你也不看看他周幸是什么时候回复的，，他每次回复都不回BD的主防情况，就忙着上报了，如果BD入库了，立即又回来给这么一个回复。

sungan01

kingsoft kiiled