調用 wuauclt.exe 作壞事

真小读者

humanlwj52 发表于 2012-5-24 11:11

弹窗不错，但是提示的很不明白。看来ESET的HIPS还要加强

消停

完整路径: f:\样本\a9129_3.exe
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012-5-24 ( 11:45:51 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________
http://bbs.kafan.cn/forum.php?mo ... Dc5OTA2N3wxMjk0MDkz 已下载文件a9129_3.exe
威胁名称:
Suspicious.Cloud.5.A自
bbs.kafan.cn
____________________________
文件操作
文件: f:\样本\a9129_3.exe
已删除
____________________________
文件指纹 - SHA:
5151b6753703f3a62c3a94eb30111d39dba722c85e8a83e12cf49dbe325ac3f5
____________________________
文件指纹 - MD5:
21f991b22fd9092452f4767e110964cf
____________________________

xiuzhiguo

卡巴斯基安全部队
2012
拒绝访问
无法访问该网页

请求对象位于网址：

http://bbs.kafan.cn/forum.php?mod=
attachment&aid=MTY1NzI2Nnw3YTk0M2E1MHwxM
zM3ODMxNjEyfDY1Mjk3MHwxMjk0MDkz

检测到威胁：

对象已感染病毒Trojan.Win32.Jorik.Androm.kt
发生时间： 11:54:02

Nocria

sanhu35 发表于 2012-5-24 11:27
询问框应该改进一下，操作在程序和目标的中间非常不起眼。
而上方的主标签很醒目，但却是无用信息。

的确应该把主要信息放在醒目位置

Nocria

firefox3 发表于 2012-5-24 11:30
先开学习模式

我一般很少在实机试毒的，所以对 ESET 的 HIPS 没有什么要求，一般就选择全部放行的自动模式。
实在有需要用到主防的情况，360 也是可以应付的。

Nocria

真小读者 发表于 2012-5-24 11:44
弹窗不错，但是提示的很不明白。看来ESET的HIPS还要加强

希望在后续版本中有所改善吧。

wuyongliang

COMODO

sanhu35

a256886572008 发表于 2012-5-24 11:38
comodo 的彈窗，裡面就寫了。

一旦允許 父進程  執行  子進程，父進程 將能獲得 完全控制 子進程 的 ...

即使允许修改内存 还有操作线程的防护。
即使允许了操作线程，还有规则限制。

除非没有对程序进行限制，而且允许可疑程序 执行、修改、控制进线程 。

Howl

程序：
Z:\系统缓存\用户临时文件夹\000B495E.EXE
木马程序生成以下文件：
1) C:\USERS\SHERRY\APPDATA\ROAMING\EHUQO\XEYP.EXE
是否删除木马程序及其衍生物?

sungan01

2012-5-24 12:45:28    修改文件    阻止
进程: c:\documents and settings\hvve\my documents\downloads\compressed\a9129_3\a9129_3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2012-5-24 12:45:28    创建文件    阻止
进程: c:\documents and settings\hvve\my documents\downloads\compressed\a9129_3\a9129_3.exe
目标: C:\Documents and Settings\All Users\svchost.exe
规则: [文件组]☆所有执行文件（严格阻止） -> [文件]*; *.exe

2012-5-24 12:45:28    修改注册表值    阻止并结束进程
进程: c:\documents and settings\hvve\my documents\downloads\compressed\a9129_3\a9129_3.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched
值: C:\Documents and Settings\All Users\svchost.exe
规则: [注册表组]◆危险修改项（阻止结束） -> [注册表]*\Microsoft\Windows\CurrentVersion\Run*