过360主防

显示全部楼层 · 发表于 2013-1-2 20:18:59

wqcaokeyinwq 发表于 2013-1-2 20:17
借哥们的帖子。。。补个双击效果图。、。

哥们老是双击啊！点点就没有失手的时候？你这是实机？

显示全部楼层 · 发表于 2013-1-2 20:20:06

DPT1 发表于 2013-1-2 20:18
哥们老是双击啊！点点就没有失手的时候？你这是实机？

。。。。样本区怎么可能实机。。。那太危险了。。。

我有冰点。。。

显示全部楼层 · 发表于 2013-1-2 20:21:26

wqcaokeyinwq 发表于 2013-1-2 20:20
。。。。样本区怎么可能实机。。。那太危险了。。。

了解。实机练脑力啊

显示全部楼层 · 发表于 2013-1-2 20:24:42

完整路径: c:\documents and settings\administrator\桌面\我的资料\update\update.exe
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2013-1-2 ( 20:23:29 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\我的资料\update\update.exe
已删除
____________________________
文件指纹 - SHA:
603acb115617f881968b35bc38d39c53fe6ce531c5e99b1cd088a8372d3ebb5b
____________________________
文件指纹 - MD5:
2bf1ea704046148fd4b8fde82f53ae53
____________________________

衍生物诺顿不杀

显示全部楼层 · 发表于 2013-1-2 20:32:29

nod32检测为特洛伊木马。

显示全部楼层 · 发表于 2013-1-2 20:50:35

本帖最后由 hddu 于 2013-1-2 20:53 编辑

解压直接运行

2013-01-02 20:39:20 运行应用程序    操作:允许
进程路径:F:\virus\update\update.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del "F:\virus\update\update.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-01-02 20:39:29 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\update\update.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

看不出有啥危险动作。

解压，选择兼容模式运行

2013-01-02 20:41:24 修改注册表内容    操作:阻止
进程路径:F:\virus\update\update.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:PrintHood
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2013-01-02 20:41:24 修改注册表内容    操作:阻止
进程路径:F:\virus\update\update.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Templates
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2013-01-02 20:41:28 运行应用程序    操作:允许
进程路径:F:\virus\update\update.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:/s "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ole32.dll
触发规则:所有程序规则->系统程序设置->%windir%\system32\regsvr32.exe

2013-01-02 20:41:32 运行应用程序    操作:允许
进程路径:F:\virus\update\update.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del "F:\virus\update\update.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-01-02 20:41:34 创建远程线程    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2013-01-02 20:41:35 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\update\update.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

显示全部楼层 · 发表于 2013-1-2 21:17:13

Virus or unwanted program 'TR/Downloader.Gen [trojan]'
detected in file 'C:\Documents and Settings\Administrator\桌面\update.exe.
Action performed: Deny access

显示全部楼层 · 发表于 2013-1-2 21:27:45

有了命令行檢測功能，就不會誤判 regsvr32.exe, rundll32.exe 之類的程序。

2013-01-02 21:24:46 C:\virus\update\update.exe Sandboxed As Partially Limited

2013-01-02 21:24:47 C:\Documents and Settings\Roger\Local Settings\Temp\ole32.dll Sandboxed As Partially Limited

2013-01-02 21:24:48 C:\WINDOWS\system32\cmd.exe Sandboxed As Partially Limited

2013-01-02 21:24:52 C:\WINDOWS\system32\cmd.exe Modify File C:\virus\update\update.exe

2013-01-02 21:24:52 C:\Documents and Settings\Roger\Local Settings\Temp\ole32.dll Access Memory C:\WINDOWS\explorer.exe

显示全部楼层 · 发表于 2013-1-2 21:41:00

本帖最后由 darkwolf_99 于 2013-1-2 21:44 编辑

惯例——win7x64，SSF（弹窗全允许）+SBie（无需降权）

测试过程：到最后，样本进程自动退出；沙盘外运行explorer.exe，无注入；再在样本运行过的同一沙盘内，运行explorer.exe，无注入

测试结果：成功防御

显示全部楼层 · 发表于 2013-1-2 21:52:08

[可疑文件] 过360主防

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源