求单开毛豆hips测试一下这个样本

显示全部楼层 · 发表于 2014-1-4 23:39:41

本帖最后由 qq5150 于 2014-1-4 23:42 编辑

虚拟机xp下，双击，允许访问explorer内存后，锁屏。重启后虽然没有其他明显异常，但是启动项多了一项。comodo日志就不提供了，因为规则不是在xp下弄的，好乱，但是明显看到很多项 C:\WINDOWS\explorer.exe 拦截文件 C:\WINDOWS\system32\verclsid.exe 规则严了点。。。

显示全部楼层 · 发表于 2014-1-4 23:41:20

ddd243346081 发表于 2014-1-4 22:06
你的explorer.exe规则是怎么？分享一下好吗？

规则都是参考卡饭各位大神的，我就不献丑了

显示全部楼层 · 发表于 2014-1-5 10:21:25

qq5150 发表于 2014-1-4 23:39
虚拟机xp下，双击，允许访问explorer内存后，锁屏。重启后虽然没有其他明显异常，但是启动项多了一项。como ...

那你不允许访问explorer内存看看，貌似允许访问explorer内存后，启动项被写入了

显示全部楼层 · 发表于 2014-1-5 12:07:35

墨家小子发表于 2014-1-5 10:21
那你不允许访问explorer内存看看，貌似允许访问explorer内存后，启动项被写入了

不允许也被锁屏，启动项还是被修改
只允许了两项常排除的。。。

显示全部楼层 · 发表于 2014-1-5 12:14:14

本帖最后由墨家小子于 2014-1-5 12:16 编辑

qq5150 发表于 2014-1-5 12:07
不允许也被锁屏，启动项还是被修改
只允许了两项常排除的。。。

我擦看来这跟以前注入explorer的样本完全不一样！
能不能看看你对svchost.exe是如何设定限制的？
如果限制svchost.exe写入启动项（特别是这一项：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon[Shell] ），看还能不能锁屏。
如果不能锁屏，再看拦截日志，拦截日志中有对svchost.exe写入启动项的拦截，那就证明这个样本是对svchost.exe进行的注入

显示全部楼层 · 发表于 2014-1-5 12:54:28

墨家小子发表于 2014-1-5 12:14
我擦看来这跟以前注入explorer的样本完全不一样！
能不能看看你对svchost.exe是如何设定限制的？
如 ...

感谢大神指导，看来又要折腾规则了

，启动项拦截成功，svchost日志如下

显示全部楼层 · 发表于 2014-1-5 12:56:11

墨家小子发表于 2014-1-5 12:14
我擦看来这跟以前注入explorer的样本完全不一样！
能不能看看你对svchost.exe是如何设定限制的？
如 ...

对了，还是继续锁屏。。。

显示全部楼层 · 发表于 2014-1-5 13:07:32

qq5150 发表于 2014-1-5 12:56
对了，还是继续锁屏。。。

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

先看看这两个文件夹有没有木马文件，有的话干掉，加入svchost.exe规则中限定

显示全部楼层 · 发表于 2014-1-5 17:20:00

墨家小子发表于 2014-1-5 13:07
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

C:\Documents and Settings\All Us ...

没有，很干净的说

显示全部楼层 · 发表于 2014-1-5 17:56:24

qq5150 发表于 2014-1-5 17:20
没有，很干净的说

这里也加进去呢？
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

[求助] 求单开毛豆hips测试一下这个样本

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分