VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

显示全部楼层 · 发表于 2013-5-30 16:21:14

墨家小子发表于 2013-5-30 16:14
又不是dll型……不过。。貌似也算dll，不然java调用regsvr32干什么

嗯，单SSF没有拦截到利用explorer的行为，只有拦截到被利用后加启动项和联网，上报官方

在SBie里的现象就是不停的创建自身的进程，估计是因为注入explorer被SBie拦了

奇怪的是，用Power Tool看不到explorer里有陌生模块

显示全部楼层 · 发表于 2013-5-30 16:25:05

darkwolf_99 发表于 2013-5-30 16:21
嗯，单SSF没有拦截到利用explorer的行为，只有拦截到被利用后加启动项和联网，上报官方

在SBi ...

我都没用沙盘，刚才重启了，再试试

显示全部楼层 · 发表于 2013-5-30 16:27:17

墨家小子发表于 2013-5-30 16:25
我都没用沙盘，刚才重启了，再试试

我一般先用神组合试，再单用SSF

神组合是木有问题的

显示全部楼层 · 发表于 2013-5-30 16:27:22

llcy 发表于 2013-5-30 16:21
自定义规则拦截启动

你这个注册表OP没有监控吗？

你看一下，键值是多少，跟我一楼的一样不

显示全部楼层 · 发表于 2013-5-30 16:28:47

darkwolf_99 发表于 2013-5-30 16:27
我一般先用神组合试，再单用SSF

神组合是木有问题的

你试试单开SSF

显示全部楼层 · 发表于 2013-5-30 16:35:03

墨家小子发表于 2013-5-30 16:27
你这个注册表OP没有监控吗？

你看一下，键值是多少，跟我一楼的一样不

OP已经开启对注册表的监控

16:15:36 INSECURE.EXE 拦截对系统对象的修改
HKEY_CURRENT_USER_Run HKEY_USERS\S-1-5-21-1004336348-1960408961-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\Internet Security

显示全部楼层 · 发表于 2013-5-30 16:36:50

本帖最后由 darkwolf_99 于 2013-5-30 16:38 编辑

墨家小子发表于 2013-5-30 16:28
你试试单开SSF

大锅，看贴莫太快，11L已经写了是单SSF

已上报给官方，看作者如何回复

显示全部楼层 · 发表于 2013-5-30 16:39:39

llcy 发表于 2013-5-30 16:35
OP已经开启对注册表的监控

你看看启动项有没有异常？

显示全部楼层 · 发表于 2013-5-30 16:41:10

darkwolf_99 发表于 2013-5-30 16:36
大锅，看贴莫太快，11L已经写了是单SSF

7楼OP拦截了

显示全部楼层 · 发表于 2013-5-30 16:41:45

darkwolf_99 发表于 2013-5-30 16:36
大锅，看贴莫太快，11L已经写了是单SSF

修复bug的话，key有我一个啊

[可疑文件] VT Detection ratio: 3 / 47 pdqjcnrsctvtvqwkuwb.bfg explorer添加启动项？

本帖子中包含更多资源