VT Detection ratio: 3 / 46 5261148.dll 穿破comodo的又来啦

显示全部楼层 · 发表于 2013-2-23 18:27:42

我大咖啡当然神勇

全局禁运

显示全部楼层 · 发表于 2013-2-23 18:28:29

rlx 发表于 2013-2-23 18:27
我大咖啡当然神勇全局禁运

你测试没？

显示全部楼层 · 发表于 2013-2-23 18:54:05

本帖最后由 tg123321 于 2013-2-23 18:55 编辑

这个病毒有点恐怖，对IE进行远程线程注入，360拦截了，但是病毒成功启动。。。。
火绒提示rundll32.exe联网，赶紧拒绝
沙盘内还残留了假冒IE的进程无法结束
太恐怖了

显示全部楼层 · 发表于 2013-2-23 19:02:37

tg123321 发表于 2013-2-23 18:54
这个病毒有点恐怖，对IE进行远程线程注入，360拦截了，但是病毒成功启动。。。。
火绒提示rundll32.exe联网 ...

rundll32.exe联网你拒绝的理由是什么？你又没看到rundll32.exe背后是那个黑dll

就拦截rundll32.exe？

显示全部楼层 · 发表于 2013-2-23 19:04:25

firefox3 发表于 2013-2-23 18:28
你测试没？

本的硬盘满了虚拟机神马的无解

显示全部楼层 · 发表于 2013-2-23 19:05:58

rlx 发表于 2013-2-23 19:04
本的硬盘满了虚拟机神马的无解

估计咖啡够呛哦

显示全部楼层 · 发表于 2013-2-23 19:49:19

firefox3 发表于 2013-2-23 19:02
rundll32.exe联网你拒绝的理由是什么？你又没看到rundll32.exe背后是那个黑dll就拦截rundll32.ex ...

1，rundll32.exe是在沙箱中被调用的，运行也是在沙箱而非正常目录
2，刚一打开黑dll就联网了
肯定背后就是那个黑dll

显示全部楼层 · 发表于 2013-2-23 19:51:02

tg123321 发表于 2013-2-23 19:49
1，rundll32.exe是在沙箱中被调用的，运行也是在沙箱而非正常目录
2，刚一打开黑dll就联网了
肯定背后 ...

能不能不先定性再测试，是先测试再确定

显示全部楼层 · 发表于 2013-2-23 19:54:57

firefox3 发表于 2013-2-23 19:51
能不能不先定性再测试，是先测试再确定

1，正常情况下rundll32.exe是不会联网的
2，联网也不该连接到这个ip：66.197.215.165
所以当时没有想那么多就直接阻止了

[可疑文件] VT Detection ratio: 3 / 46 5261148.dll 穿破comodo的又来啦