穿破 comodo v5.10 (.hta 文件)

Couphine

浏览器禁了可执行文件

傲游打开是这样的。。。

a256886572008

Couphine 发表于 2012-6-3 19:33
浏览器禁了可执行文件

傲游打开是这样的。。。

你可以點 open 看看

-----------------------------------
總結一下，可能發生的原因：

1.DCOM Server Process Launcher 服務的 svchost.exe 執行 mshta.exe (那個.hta文件)。

2.comodo 沒有把那個 mshta.exe 入沙

3.這之間的命行偵測，可能出問題

4.不過，我裝了MD特地抓命令行，居然是 -embedding

Couphine

a256886572008 发表于 2012-6-3 19:38
你可以點 open 看看

open后是这样

Couphine

a256886572008 发表于 2012-6-3 19:38
你可以點 open 看看

-----------------------------------

这个不应该首先是浏览器打开的吗？

看我上面的图，傲游打开后，kill了.hta的运行。

如果用IE应该也是首先IE运行的啊？

tgcn

a256886572008 发表于 2012-6-3 19:12
因為，我看見你的日誌，攔截的是 mshta.exe，就知道是 comodo 出 bug 了

怎么是bug呢？hta文件需要mshta.exe运行的呀，他要运行hta文件就要调用mshta.exe呀

Savoor

楼主犀利啊...这都发现了...

柯林

Couphine 发表于 2012-6-3 19:46
这个不应该首先是浏览器打开的吗？

看我上面的图，傲游打开后，kill了.hta的运行。

最后的显示，是svchost.exe运行mshta.exe，而开头的显示，应该是从IE开始的：




允许后，毛豆防火墙弹了个：


阻止后，啥都没有。

win7 32位 (UAC未关闭）  CPS 默认规则   

Couphine

柯林 发表于 2012-6-3 20:01
最后的显示，是svchost.exe运行mshta.exe，而开头的显示，应该是从IE开始的：

恩，确实，看来IE9还是不错。 已经弹窗警告了。

貌似现在最新的浏览器都是这样了，IE9 上面的搜狗，傲游。

不过这种东西，一般杀软估计也麻烦，不过360卫士这种对添加开机启动项超级敏感的类型应该好防！

PS：看来毛豆默认加强下浏览器的监控还是很好的啊。直接禁运可执行文件，省却很多问题～！

sanhu35

重要的是mshta.exe被利用  标记为安全

岁月遐想

Couphine 发表于 2012-6-3 20:11
恩，确实，看来IE9还是不错。 已经弹窗警告了。

貌似现在最新的浏览器都是这样了，IE9 上面的搜狗，傲 ...

一直禁止浏览器运作可执行文件