这个样本 单开HIPS安全模式 直接被过了

chen.yuan

tg123321 发表于 2013-12-31 22:59
@a256886572008 麻烦上报给Comodo官方吧

这个才是正确的。

tg123321

BBCALL 发表于 2014-1-1 10:13
毛豆已告诉你那是不能信任与辨别的，此外，任何在系统外的动态连结档，尤其是临时目录启动的，都是病毒 ...

您确认这个报警截图是这个样本吗？这个样本生成的是foxplayer.dll而不是foxreader.dll，而调用foxreader.dll的木马我从小柯那里拿到过，当时comodo是可以完美拦截的（因为一般情况下rundll32调用不可信文件毛豆是肯定可以拦的）。这个样本运行从头到尾毛豆根本就没有拦截提示，至少在我这里是这样的！

BBCALL

tg123321 发表于 2014-1-1 13:21
您确认这个报警截图是这个样本吗？这个样本生成的是foxplayer.dll而不是foxreader.dll，而调用foxreader. ...

1.已经说过了，规则有问题，不是毛豆的问题。

2.所谓这样的标题，建议要再三确认後再发，这板上很多人都喜欢发危言耸听的标题，宣告毛豆直接被过了，事实上，更本不是，只是知道的人懒的说明，因为，许多人出问题後，不研究自己的规则，也不接受他人说的，只坚持毛豆直接被过了，希望大家不要用这种态度，不然，这板上以往许多的大神更不愿出来了。

3.不管所谓"foxreader.dll"是跟谁拿到的，我已告诉你这是谁创建的。

4.给你看毛豆默认规则的日志：
2014-01-07 13:20:18          C:\Users\＊\AppData\Roaming\foxreader.dll          存取 COM 介面          C:\Windows\System32\svchost.exe
2014-01-07 13:19:40          C:\Users\＊\AppData\Roaming\foxreader.dll          沙箱中執行權限          Partially Limited
2014-01-07 13:18:53          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Users\＊\AppData\Roaming\foxreader.dll
2014-01-07 13:18:03          C:\Program Files\Windows Defender\MpCmdRun.exe          修改機碼          HKUS\S-1-5-19\Software\Microsoft\SystemCertificates\CA

5.给你看将安全改成疯狂规则的日志：（FSViewer是我的看图程式）
2014-01-07 15:44:11          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe          直接鍵盤存取           
2014-01-07 15:44:08          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Users\＊\AppData\Roaming\foxreader.dll
2014-01-07 15:44:04          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe          存取記憶體          C:\Windows\explorer.exe
2014-01-07 15:43:52          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Users\＊\AppData\Roaming\foxreader.dll
2014-01-07 15:43:46          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe          直接磁碟存取          C:\
2014-01-07 15:43:39          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe
2014-01-07 15:43:25          C:\Windows\System32\rundll32.exe          修改檔案          C:\Users\＊\AppData\Roaming\foxreader.dll
2014-01-07 15:43:15          C:\Windows\System32\rundll32.exe          安裝鈎子          C:\WINDOWS\SYSTEM32\DINPUT8.dll
2014-01-07 15:43:07          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Windows\SysWOW64\rundll32.exe
2014-01-07 15:42:50          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Windows\System32\rundll32.exe
2014-01-07 15:42:05          C:\Windows\System32\rundll32.exe          直接磁碟存取          C:\
2014-01-07 15:41:38          C:\Windows\System32\dllhost.exe          存取 COM 介面          C:\Windows\explorer.exe  

6.给你看完全虚拟化模式
2014-01-07 16:14:16          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe
2014-01-07 16:14:16          C:\Windows\System32\rundll32.exe          存取記憶體          System
2014-01-07 16:14:16          C:\Windows\System32\rundll32.exe          建立處理程序          C:\Windows\SysWOW64\rundll32.exe
2014-01-07 16:13:58          C:\Program Files (x86)\FastStone Image Viewer\FSViewer.exe          沙箱中執行權限          Fully Virtualized
2014-01-07 16:13:58          C:\Users\＊\AppData\Roaming\foxreader.dll          沙箱中執行權限          Fully Virtualized
2014-01-07 16:13:57          F:\TEMP\foxplayer.dll          沙箱中執行權限          Fully Virtualized
2014-01-07 16:13:57          C:\Windows\System32\rundll32.exe          沙箱中執行權限          Fully Virtualized

7˙分析
a. rundll32.exe 生成木马文件 foxreader.dll。
b. 楼主提供的样本foxplayer.dll实际上是相同於rundll32.exe 已生成出来的木马文件 foxreader.dll。
c. foxreader.dll的作用是连出网路并下载其他木马，创建 DrawerMenu ActiveX Control module，并添加登录值於启动项，利用Visual C++所写的 DrawerMenu 开源代码创建foxplayer.dll（楼主的样本）及其他相关程式，监於分析很多，不再提供说明。
d.监於生成文件的位置及行为是木马典型的行为，在毛豆警告後，不应再继续执行。
f. 只要沙箱开启，无论何种状况，毛豆皆自动入沙与提示。如果没有，是使用者的设定有问题。