白加黑和注入锁屏类样本以及单一程序加载驱动行为的样本。。收集专贴

lifan88

lifan88 发表于 2013-9-14 14:43
给楼主个RUNDLL32.EXE+IEXPLORER.EXE锁屏的

直接REGSVR32.EXE加载...

重测证明,直接复制他的命令行,只要原文件还在,直接锁屏,但MD突破锁屏...
2013-9-14 14:45:45    创建新进程    允许
进程: d:\windows\system32\cmd.exe
目标: d:\windows\system32\rundll32.exe
命令行: D:\WINDOWS\system32\rundll32.exe D:\DOCUME~1\ALLUSE~1\APPLIC~1\4jeelo.dat,FG07
规则: [应用程序]d:\windows\system32\cmd.exe

2013-9-14 14:45:49    读文件 (3)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:45:52    加载动态链接库    允许
进程: d:\windows\system32\rundll32.exe
目标: d:\documents and settings\all users\application data\4jeelo.dat
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-9-14 14:45:59    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:03    读文件 (5)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\rundll32.exe
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:07    创建新进程    允许
进程: d:\windows\system32\rundll32.exe
目标: d:\documents and settings\all users\application data\rundll32.exe
命令行: D:\DOCUME~1\ALLUSE~1\APPLIC~1\rundll32.exe D:\DOCUME~1\ALLUSE~1\APPLIC~1\4jeelo.dat,FG00
规则: [应用程序]d:\windows\system32\rundll32.exe

2013-9-14 14:46:07    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:08    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:09    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:09    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    读文件    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\4jeelo.dat
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:10    加载动态链接库    允许
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: d:\documents and settings\all users\application data\4jeelo.dat
规则: [应用程序]d:\documents and settings\all users\application data\rundll32.exe

2013-9-14 14:46:11    读文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:12    修改文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:15    读文件 (3)    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

在这步被锁,背景变成UK的XX局


2013-9-14 14:46:16    修改文件    允许
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:27    读文件    阻止并结束进程
进程: d:\documents and settings\all users\application data\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

2013-9-14 14:46:51    读文件    阻止并结束进程
进程: d:\windows\system32\rundll32.exe
目标: D:\Documents and Settings\All Users\Application Data\oleej4.pad
规则: [文件]d:\documents and settings\all users\application data

被结束后解锁,由此可见,他生成的*.pad是背景图包,是白文件...

还好锁屏被破....

原因不明................................我第一次测试,他是先把PAD读好了再锁,结果MD窗口被屏蔽,PAD背景包也因为触发询问规则,线程被暂停,所以背景没有出现...

第二次,他是没能锁住MD...MD破了锁屏,奇迹

wqcaokeyinwq

lifan88 发表于 2013-9-14 14:54
重测证明,只要原文件还在,直接锁屏,但MD突破锁屏...
2013-9-14 14:45:45    创建新进程    允许
进程:  ...

请按要求发帖啊。大哥。。。

netvox

刚刚采集到的病毒。金山报毒，微点没反应

http://bbs.kafan.cn/thread-1628020-1-1.html

火眼分析：行为描述：远程注入其他进程
附加信息：explorer.exe
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%ProgramFiles%\sample.exesample.exe
行为描述：非法注入系统进程，绑定监听端口，疑似后门
附加信息：

netvox

来个远控样本


http://bbs.kafan.cn/thread-1628029-1-1.html

微点

netvox

微点无反应http://bbs.kafan.cn/thread-1628042-1-1.html


再来个 http://bbs.kafan.cn/thread-1628052-1-1.html  这个是非法注入系统进程，绑定监听端口，疑似后门。

wqcaokeyinwq

netvox 发表于 2013-9-14 17:26
来个远控样本

嗯。。感谢上报。。。请注明是什么类型的样本。。比如。。白加黑远控。。

另外远控的话可能对方没有在线。。。。对于防火墙的报警请直接按微点推荐选项操作。


另外同一天内。请在所占楼层进行编辑。不要多次占楼。。

netvox

1.锁屏样本http://bbs.kafan.cn/thread-1628355-1-1.html

行为描述：远程注入其他进程
附加信息：svchost.exe
行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：%system%\svchost.exe


64位系统好像不锁屏
32位系统 锁屏






2.再来 2 个

http://bbs.kafan.cn/thread-1628431-1-1.html


危险行为监控


行为描述：inline Hook 函数入口代码

附加信息：
Process：Explorer.EXE


ntdll.dll!NtClose Ordinal: 111 HookType: InlineHook

ntdll.dll!ZwClose Ordinal: 921 HookType: InlineHook
.


行为描述：远程注入其他进程

附加信息：
svchost.exe
.


行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程

附加信息：
%system%\svchost.exe

a445441

注入锁屏类

http://bbs.kafan.cn/thread-1628373-1-1.html


http://bbs.kafan.cn/thread-1628534-1-1.html


远控木马

http://bbs.kafan.cn/thread-1628535-1-1.html