VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

显示全部楼层 · 发表于 2013-6-9 21:05:55

360主动防御发表于 2013-6-9 20:01
想了下貌似我给bin不合适... 虽然只是个测试程序. ^_^~ 还是麻烦大家找个编译器编译下吧.

小白被大神无视了

显示全部楼层 · 发表于 2013-6-10 00:25:10

本帖最后由穿越星空于 2013-6-10 00:38 编辑

墨家小子发表于 2013-6-8 09:05
安全模式去掉FAKE AV启动项，重启用数字杀一遍，没事

①insecure.exe是伪装成安全软件的病毒？

②我是在影子系统下测试的，注册表没搜索到带FAKE字样的内容，它应该不会穿影子的吧？
另，它会在系统分区以外的分区释放病毒备份吗？

PS：个人不喜欢数字

我比较在意的是它会访问网址：
http://softportal360.com/404.php?id=218.2
softportal360.com/404.php?id=218.2
其返回的Yes和No分别是什么含义？

显示全部楼层 · 发表于 2013-6-10 00:51:40

360主动防御发表于 2013-6-9 19:50
嗯刚刚编译的100楼的代码... 要bin不

请问下，100楼的代码编译后的就是去功能化的测试文件吗？如果是的话发我一份，样本还是没胆量测试了。

另，我对explorer.exe进行内存写入保护且禁止联网，现在我想用第三方软件来确认是否能过我的HIPS，请问看联网的话，是不是应该看explorer.exe有出站连接？而其注入的应该是线程吧，又该如何却确认是否存在呢？

显示全部楼层 · 发表于 2013-6-10 03:01:04

本帖最后由雨宫优子于 2013-6-10 04:15 编辑

费了我九牛二虎之力才编译成功了100楼的代码

【看到那个WDK的大小实在不想下。。于是折腾了半天才找齐和修补了需要的东东。。

Win7下无法得到预期效果报错退出

1] Writing the shellcode in the shared section mapped in explorer.exe's address space
Opening the section..Failed in write_shellcode_in_shared_section: c0000034.

XP SP3虚拟机运行后弹框

然后explorer重启

EQ2008不知道拦截了哪步读写进程的操作应该还是让shellcode写进去了 explorer报错退出未弹框

EMET3.0成功拦截了shellcode执行 explorer报错退出【EMET在最后发现了shellcode遍历函数并终止了explorer。。

====================
貌似楼主给的第一个样本是反虚拟机的虚拟机执行后提示Software Installed直接就退出了

但是第二个样本【应该就是源样本。。。过了EQ。EMET也没报shellcode执行

显示全部楼层 · 发表于 2013-6-10 03:41:41

穿越星空发表于 2013-6-10 00:51
请问下，100楼的代码编译后的就是去功能化的测试文件吗？如果是的话发我一份，样本还是没胆量测试了。

...

那个代码无害的看了就知道

Win7就不用测试了跑不起来

显示全部楼层 · 发表于 2013-6-10 08:41:13

雨宫优子发表于 2013-6-10 03:01
费了我九牛二虎之力才编译成功了100楼的代码

【看到那个WDK的大小实在不想下。。于是折腾了半天才找齐和 ...

好几个注入explorer，利用explorer添加启动项的样本，貌似四五个？我在标题前注明了

显示全部楼层 · 发表于 2013-6-10 09:53:56

穿越星空发表于 2013-6-10 00:51
请问下，100楼的代码编译后的就是去功能化的测试文件吗？如果是的话发我一份，样本还是没胆量测试了。

...

禁止写内存是没用的，这个攻击手法就是用shared section绕过所有的写内存保护。
注入的不是线程而是一段shell code，在explorer message loop线程里，没有新开线程

显示全部楼层 · 发表于 2013-6-10 09:57:39

雨宫优子发表于 2013-6-10 03:01
费了我九牛二虎之力才编译成功了100楼的代码

【看到那个WDK的大小实在不想下。。于是折腾了半天才找齐和 ...

win7那个应该是这个代码没写好，提示section名字不对

emet3的那个很容易改改就绕过了，emet4也是。

显示全部楼层 · 发表于 2013-6-10 12:08:52

CiInitialize 发表于 2013-6-10 09:53
禁止写内存是没用的，这个攻击手法就是用shared section绕过所有的写内存保护。
注入的不是线程而是一段 ...

怪不得我是看了半天没看出什么异常，这个太隐蔽了，目前的ARK也可能都看不出来吧？
那现在有什么防御措施和软件吗？
如果没有办法阻止内存写入，那是不是只能通过降低宿主/目标进程的权限了？

显示全部楼层 · 发表于 2013-6-10 12:22:20

雨宫优子发表于 2013-6-10 03:41
那个代码无害的看了就知道

Win7就不用测试了跑不起来

感谢编译，加人气的回复写错了，应该是“怎么都重现不了过程。”
Windows 7跑去起来是从根本上做了限制还是由于UAC？
我当前防护运行结果和你的截图都不一样啊，看起来成功但又不完全。

[可疑文件] VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

本帖子中包含更多资源

评分

本帖子中包含更多资源