DG、BD、瑞星、BG主防、小a沙盘、诺顿的sonar小弟惨遭999胃泰蹂躏！OA貌似被过（更2）

a256886572008

firefox3 发表于 2012-12-16 14:20
a大你测试一下毛豆吧
SSF有命令行的吧

我解釋一下，什麼叫做 加入命令行檢測。

comodo的這個功能默認打勾，do heuristic command-line analysis for certain applications。

換句話說，就是把原本 系統進程的名稱 改成正在運作的腳本文件或是DLL文件。

這樣改的優點是，rundll32.exe之類 照樣能繼續信任，對基於父進程白名單型的HIPS有好處。

像這隻，comodo 會把 rundll32.exe 的名字改成 999.dll。

2012-12-16 16:45:41   C:\virus\999\999.dll   Sandboxed As   Partially Limited   

2012-12-16 16:45:43   C:\virus\999\999.dll   Modify File   C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\runctf.lnk   

根據以上的內容，哪幾家攔不住，很快就知道了。

---------------
如果有發現到 java.exe 直接做壞事的，可以把url也發出來

firefox3

a256886572008 发表于 2012-12-16 16:54
我解釋一下，什麼叫做 加入命令行檢測。

comodo的這個功能默認打勾，do heuristic command-line ana ...

多谢a大解答

我发了的，就在隔壁网络安全（毒网分析）

不过一般都挺不过一天

a256886572008

UDady 发表于 2012-12-16 14:42
OA free 提示拦截

不过我为了看行为点“Allow”

請您檢查一下 OA 的 autorun 組件，是否壞掉了？

這隻使用最基本的 FD 啟動方式而已。

2012-12-16 16:45:43   C:\virus\999\999.dll   Modify File   C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\runctf.lnk

久远寺有珠

360QVM干掉，金山无反应

UDady

a256886572008 发表于 2012-12-16 17:06
請您檢查一下 OA 的 autorun 組件，是否壞掉了？

這隻使用最基本的 FD 啟動方式而已。

好像还健在



那个999.dll没删，要先把rundll32.exe删了才能删掉999.dll 每次开机oa日志里总自动拦截999.dll

UDady

firefox3 发表于 2012-12-16 14:51
启动项截图好吗？

截好了

firefox3

UDady 发表于 2012-12-16 18:11
截好了

没有异常吗？

UDady

firefox3 发表于 2012-12-16 18:12
没有异常吗？

没什么异常，oa启动项没被破坏，只不过每次启动照常加载999.dll，oa照常自动拦截它，要先把rundll32.exe进程给杀了才能删掉999.dll

firefox3

UDady 发表于 2012-12-16 18:14
没什么异常，oa启动项没被破坏，只不过每次启动照常加载999.dll，oa照常自动拦截它，要先把rundll32.ex ...

那还是启动项有问题吧？

UDady

firefox3 发表于 2012-12-16 18:17
那还是启动项有问题吧？

，那它添加的启动项是什么？