白加黑和注入锁屏类样本以及单一程序加载驱动行为的样本。。收集专贴

wqcaokeyinwq

白加黑已经施虐很长时间了。。。。

微点主防目前只能靠特征进行防御。。。。。。。貌似其他杀软也是这样。。

为了方便客服收集，为了更好的解决这些问题，我和妹子商量后。。决定在微点区发专贴收集白加黑和锁屏样本。。。。。欢迎大家及时反馈

何为白加黑样本：


1进入微点白名单的EXE程序+过掉微点主防的黑DLL文件组合等

2.进入其他程序的EXE程序（非白名单）+释放进入微点白名单的EXE的组合等


何为注入锁屏类样本：

通常是注入EXPLORER.EXE，并释放SVHOST.EXE导致的锁屏等


这些样本的出现，对微点主防的规则是一个严峻的考验，彻底打破了白名单技术，也暴露了主防的弊端。

为了给微点主防用户一个安全的系统环境，也为了微点主防技术的进一步完善，特开此专贴。

希望大家踊跃上报白加黑和锁屏类样本。。。

何为单一程序加载驱动样本：

通常指某个单一程序具有盗号和远控等明显特征的木马，通过某种手段实现加载驱动的行为。比如母体释放某个衍生物或者就是母体本身通过一定的方法实现了加载驱动。

PS:微点官方解释中木马和病毒是两类样本。其中病毒具有明显的感染行为，加载驱动微点可拦截。

而单一程序加驱目前微点在不能确定其危害性之前，不会拦截。。

期待大家上报单一程序的加驱行为样本



样本上报形式：

1、在样本区发帖贴上样本，复制样本所在楼层链接
2、在本贴中跟帖，注明是何类型的样本，贴上样本所在楼层链接级具体楼层。
3.同一天内上报的样本请在所占楼层进行编辑

样本有危险，下载须谨慎



注意事项：

1.无论从何处收集到白加黑样本，请务必先在卡饭论坛样本区发帖。然后在此专贴中放上链接。

2.非按本帖样本上报要求参与活动的视为无效，不予基础积分和活动加分。

3.所发白加黑和锁屏类样本最好是有具体修改系统行为的样本，而不是尸体。

4.和样本无关的回复一律屏蔽

5.上报的样本尽量不要重复

对于不辞辛苦上报的朋友。。。我们将根据贡献度奖励：（其中贡献度由微点官人评定）

经验+魅力+激活码

参与多多，奖励多多，亲们，还不赶快拿起手中的样本，砸过来吧！



                                                                                     微点区管理团队       2013.9.12

a445441

注入锁屏类样本:
http://bbs.kafan.cn/thread-1627033-1-1.html

netvox

最新2个样本。
http://bbs.kafan.cn/thread-1627071-1-1.html


请分析 谢谢

一个是白加黑，另外一个就不清楚了。



大家给力点！

wqcaokeyinwq

netvox 发表于 2013-9-12 16:41
微点拦截

这个是收集样本专贴。。无关回复一律屏蔽

netvox

白加黑样本一个 微点过了
http://bbs.kafan.cn/thread-1627254-1-1.html

另外2个白加黑样本，过微点的
http://bbs.kafan.cn/thread-1628134-1-1.html

wqcaokeyinwq

注入锁屏类

http://bbs.kafan.cn/thread-1627872-1-1.html

lifan88

lifan88 发表于 2013-9-14 14:43
给楼主个RUNDLL32.EXE+IEXPLORER.EXE锁屏的

直接REGSVR32.EXE加载...

重测证明,直接复制他的命令行,只要原文件还在,直接锁屏,但MD突破锁屏...
2013-9-14 14:45:45    创建新进程    允许
进程: d:\windows\system32\cmd.exe
目标: d:\windows\system32\rundll32.exe
命令行: D:\WINDOWS\system32\rundll32.exe D:\DOCUME~1\ALLUSE~1\APPLIC~1\4jeelo.dat,FG07
规则: [应用程序]d:\windows\system32\cmd.exe

2013-9-14 14:45:49    读文件 (3)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:45:52    加载动态链接库    允许
进程: d:\windows\system32\rundll32.exe
目标: d:\documents and settings\all users\application data\4jeelo.dat
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-9-14 14:45:59    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:03    读文件 (5)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\rundll32.exe
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:07    创建新进程    允许
进程: d:\windows\system32\rundll32.exe
目标: d:\documents and settings\all users\application data\rundll32.exe
命令行: D:\DOCUME~1\ALLUSE~1\APPLIC~1\rundll32.exe D:\DOCUME~1\ALLUSE~1\APPLIC~1\4jeelo.dat,FG00
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-9-14 14:46:07    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:08    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:09    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:09    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    加载动态链接库    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: d:\documents and settings\all users\application data\4jeelo.dat
规则: [应用程序]d:\documents and settings\all users\application data\rundll32.exe

2013-9-14 14:46:11    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:12    修改文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:15    读文件 (3)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

在这步被锁,背景变成UK的XX局


2013-9-14 14:46:16    修改文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:27    读文件    阻止并结束进程
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:51    读文件    阻止并结束进程
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

被结束后解锁,由此可见,他生成的*.pad是背景图包,是白文件...

还好锁屏被破....

原因不明................................我第一次测试,他是先把PAD读好了再锁,结果MD窗口被屏蔽,PAD背景包也因为触发询问规则,线程被暂停,所以背景没有出现...

第二次,他是没能锁住MD...MD破了锁屏,奇迹

wqcaokeyinwq

lifan88 发表于 2013-9-14 14:54
重测证明,只要原文件还在,直接锁屏,但MD突破锁屏...
2013-9-14 14:45:45    创建新进程    允许
进程:  ...

请按要求发帖啊。大哥。。。

netvox

刚刚采集到的病毒。金山报毒，微点没反应

http://bbs.kafan.cn/thread-1628020-1-1.html

火眼分析：行为描述：远程注入其他进程
附加信息：explorer.exe
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%ProgramFiles%\sample.exesample.exe
行为描述：非法注入系统进程，绑定监听端口，疑似后门
附加信息：

netvox

来个远控样本


http://bbs.kafan.cn/thread-1628029-1-1.html

微点

netvox

微点无反应http://bbs.kafan.cn/thread-1628042-1-1.html


再来个 http://bbs.kafan.cn/thread-1628052-1-1.html  这个是非法注入系统进程，绑定监听端口，疑似后门。

wqcaokeyinwq

netvox 发表于 2013-9-14 17:26
来个远控样本

嗯。。感谢上报。。。请注明是什么类型的样本。。比如。。白加黑远控。。

另外远控的话可能对方没有在线。。。。对于防火墙的报警请直接按微点推荐选项操作。


另外同一天内。请在所占楼层进行编辑。不要多次占楼。。

netvox

1.锁屏样本http://bbs.kafan.cn/thread-1628355-1-1.html

行为描述：远程注入其他进程
附加信息：svchost.exe
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%system%\svchost.exe


64位系统好像不锁屏
32位系统 锁屏






2.再来 2 个

http://bbs.kafan.cn/thread-1628431-1-1.html


危险行为监控


行为描述：inline Hook 函数入口代码

附加信息：
Process：Explorer.EXE


ntdll.dll!NtClose Ordinal: 111 HookType: InlineHook

ntdll.dll!ZwClose Ordinal: 921 HookType: InlineHook
.


行为描述：远程注入其他进程

附加信息：
svchost.exe
.


行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程

附加信息：
%system%\svchost.exe

a445441

注入锁屏类

http://bbs.kafan.cn/thread-1628373-1-1.html


http://bbs.kafan.cn/thread-1628534-1-1.html


远控木马

http://bbs.kafan.cn/thread-1628535-1-1.html