穿破 v5.10，IE8被破壞

a256886572008

1.病毒樣本：
http://bbs.kafan.cn/thread-1304807-1-1.html

2.comodo 的日誌

2012-06-09 22:33:41          C:\Documents and Settings\Roger\桌面\virus\88\88.bat          Sandboxed As          Partially Limited  
2012-06-09 22:33:42          C:\WINDOWS\system32\conime.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:42          C:\WINDOWS\system32\cmd.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:43          C:\WINDOWS\system32\cmd.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:43          C:\WINDOWS\system32\debug.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:47          C:\WINDOWS\system32\chcp.com          Sandboxed As          Partially Limited  
2012-06-09 22:33:48          C:\WINDOWS\system32\graftabl.com          Sandboxed As          Partially Limited  
2012-06-09 22:33:49          C:\WINDOWS\system32\regsvr32.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:49          C:\WINDOWS\system32\advpack.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:50          C:\WINDOWS\system32\advpack.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:50          C:\WINDOWS\system32\regsvr32.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:51          C:\WINDOWS\system32\wininet.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:52          C:\WINDOWS\system32\comcat.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:52          C:\WINDOWS\system32\regsvr32.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:52          C:\WINDOWS\system32\regsvr32.exe          Sandboxed As          Partially Limited  
2012-06-09 22:33:52          C:\WINDOWS\system32\asctrls.ocx          Sandboxed As          Partially Limited  
2012-06-09 22:33:53          C:\WINDOWS\system32\oleaut32.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:54          C:\WINDOWS\system32\shdocvw.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:55          C:\WINDOWS\system32\shdocvw.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:55          C:\WINDOWS\system32\browseui.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:56          C:\WINDOWS\system32\browseui.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:56          C:\WINDOWS\system32\msrating.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:57          C:\WINDOWS\system32\mlang.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:57          C:\WINDOWS\system32\hlink.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:58          C:\WINDOWS\system32\mshtml.dll          Sandboxed As          Partially Limited  
2012-06-09 22:33:59          C:\WINDOWS\system32\mshtmled.dll          Sandboxed As          Partially Limited  
2012-06-09 22:34:00          C:\WINDOWS\system32\urlmon.dll          Sandboxed As          Partially Limited  
2012-06-09 22:34:00          C:\WINDOWS\system32\regsvr32.exe          Sandboxed As          Partially Limited  
2012-06-09 22:34:00          C:\WINDOWS\system32\sendmail.dll          Sandboxed As          Partially Limited  
2012-06-09 22:34:01          C:\WINDOWS\system32\comctl32.dll          Sandboxed As          Partially Limited  
2012-06-09 22:34:01          C:\WINDOWS\system32\inetcpl.cpl          Sandboxed As          Partially Limited  
2012-06-09 22:34:03          C:\WINDOWS\system32\mshtml.dll          Sandboxed As          Partially Limited  
2012-06-09 22:34:04          C:\WINDOWS\system32\scrobj.dll          Sandboxed As          Partially Limited  

2012-06-09 22:34:09          C:\WINDOWS\system32\asctrls.ocx          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{6E449683-C509-11CF-AAFA-00AA00B6015C}\Control  
2012-06-09 22:34:09          C:\WINDOWS\system32\shdocvw.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{0E5CBF21-D15F-11d0-8301-00AA005B4383}\Implemented Categories\{00021492-0000-0000-C000-000000000046}  
2012-06-09 22:34:09          C:\WINDOWS\system32\browseui.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{30D02401-6A81-11d0-8274-00C04FD5AE38}\Implemented Categories\{00021493-0000-0000-C000-000000000046}  
2012-06-09 22:34:09          C:\WINDOWS\system32\mlang.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InProcServer32  
2012-06-09 22:34:09          C:\WINDOWS\system32\hlink.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{79eac9d1-baf9-11ce-8c82-00aa004ba90b}\InprocServer32  
2012-06-09 22:34:09          C:\WINDOWS\system32\mshtmled.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{3050f4e1-98b5-11cf-bb82-00aa00bdce0b}\ProgID  
2012-06-09 22:34:09          C:\WINDOWS\system32\urlmon.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{c733e4af-576e-11d0-b28c-00c04fd7cd22}\InprocServer32  
2012-06-09 22:34:09          C:\WINDOWS\system32\sendmail.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}\shellex\DropHandler
2012-06-09 22:34:09          C:\WINDOWS\system32\sendmail.dll          Modify File          C:\Documents and Settings\Roger\SendTo\郵件收件者.MAPIMail  
2012-06-09 22:34:09          C:\WINDOWS\system32\sendmail.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}\shellex\DropHandler
2012-06-09 22:34:09          C:\WINDOWS\system32\sendmail.dll          Modify File          C:\Documents and Settings\Roger\SendTo\桌面當作捷徑.DeskLink  
2012-06-09 22:34:09          C:\WINDOWS\system32\scrobj.dll          Modify Key          HKLM\SOFTWARE\Classes\CLSID\{06290BD0-48AA-11D2-8432-006008C3FBFC}\InprocServer32

3.comodo 的 FD 默認沒保護這個位置，可自行添加

?:\Documents and Settings\user\SendTo\*

firefox3

?:\*最全面

a256886572008

firefox3 发表于 2012-6-9 23:24
?:\*最全面

設了也沒用，我的 IE8 無法用了


難道是這個？

young2288

AVG上报了

a256886572008

用 advanced system care 修復好了

柯林

无聊规则确实蛋疼，只有3条日志：

a256886572008

2012-06-10 00:29:03   C:\WINDOWS\system32\shdocvw.dll   Modify Key   HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Advanced INF Setup\IE40.Assoc   

2012-06-10 00:29:03   C:\WINDOWS\system32\shdocvw.dll   Modify Key   HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Advanced INF Setup\IE40.Controls   

2012-06-10 00:29:03   C:\WINDOWS\system32\browseui.dll   Modify Key   HKUS\S-1-5-21-448539723-261903793-1801674531-1003\Software\Microsoft\Advanced INF Setup\IE40.BrowseUI   

2012-06-10 00:29:03   C:\WINDOWS\system32\mshtmled.dll   Modify Key   HKLM\SOFTWARE\Classes\HtmlDlgHelper.HtmlDlgHelper.1\CLSID   

加了 * 規則，終於找到了，是修改這個地方。

sanhu35

毛豆什么时候6X？

firefox3

a256886572008 发表于 2012-6-10 00:36
加了 * 規則，終於找到了，是修改這個地方。

上报官方吧

a256886572008

firefox3 发表于 2012-6-10 09:28
上报官方吧

我覺得這裡只是單純規則問題。

這類破壞型，只能等 comodo 把  重定向型自動入沙  給用回來才能防禦。

目前，comodo 只能攔截  流行的網馬行為。