查看: 3224|回复: 11
收起左侧

[讨论] comodo v3 的行为分析

[复制链接]
yurius
发表于 2007-12-24 15:39:56 | 显示全部楼层 |阅读模式
今天特地到样本区试了第一页的样本
发现v3居然能识别到90%的病毒木马
文件都还没执行,难道是什么动静态启发、仿真器、沙盘之类的东西

comodo实在是令人期待啊,等Memory Firewall也合并进来,这样的话:

防溢出 -》行为启发 -》hips -》防火墙

太强了,而且特有的程序数据库和pending file令comodo没有一般hips的复杂性
如果在加上沙盘能解决安装问题的话,简直是无敌啊
ggcn
发表于 2007-12-24 15:42:59 | 显示全部楼层
V3是厉害,楼主是实机测试的吗
yurius
 楼主| 发表于 2007-12-24 15:44:13 | 显示全部楼层

回复 2楼 ggcn 的帖子

是啊,反正都还没运行v3就提示是malware了
baerzake
发表于 2007-12-24 15:58:42 | 显示全部楼层
comodo本来就有启发啊
ggcn
发表于 2007-12-24 16:04:36 | 显示全部楼层
原帖由 yurius 于 2007-12-24 15:44 发表
是啊,反正都还没运行v3就提示是malware了

楼主继续测
http://bbs.kafan.cn/viewthread.php?tid=176301&extra=page%3D1
yurius
 楼主| 发表于 2007-12-24 16:08:53 | 显示全部楼层

回复 5楼 ggcn 的帖子

哈哈,这个启发不出来,就不运行下去了
默认规则有时候还是会漏东西的
ggcn
发表于 2007-12-24 16:12:25 | 显示全部楼层
原帖由 yurius 于 2007-12-24 16:08 发表
哈哈,这个启发不出来,就不运行下去了
默认规则有时候还是会漏东西的

我允许了插入explor.exe进程,其他的都阻止了,应该没什么问题吧
yurius
 楼主| 发表于 2007-12-24 16:51:08 | 显示全部楼层

回复 7楼 ggcn 的帖子

样本是这个
http://bbs.kafan.cn/viewthread.p ... tra=page%3D1&page=2

一直点取消,拦截了全局钩子、修改物理内存、修改时间、提升权限,后来手工kill进程时发现用comodo找不到样本进程。
想开icesword发现被映像劫持,用sreng将冰刃的那项删掉,启动icesword,结果。。。系统重启了(这个估计是机器的内存有点问题,时不时会重启)
重启之后,病毒被执行,我将其加到isolated application,然后用comodo kill进程,结果comodo出错退出,查看硬盘上的病毒文件,autorun之类的东西都建立起来了,时间也被改了

还好这个毒没有将sreng映像劫持,将时间改回来后,就用sreng将劫持、启动项什么的都删掉、修复、再用360、小红伞,终于都干掉了

下面是comodo的d+日志
2007-12-24 16:17:36         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:39         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:40         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:45         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:47         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:49         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:51         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:53         C:\virus\Svchost.exe         Install Hook         C:\windows\system32\MSCTF.dll
2007-12-24 16:17:56         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:16         C:\virus\Svchost.exe         Direct Memory Access         
2007-12-24 16:18:18         C:\virus\Svchost.exe         Direct Memory Access         
2007-12-24 16:18:21         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\net.exe
2007-12-24 16:18:24         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\net.exe
2007-12-24 16:18:26         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\net.exe
2007-12-24 16:18:29         C:\virus\Svchost.exe         Access COM Interface         LocalSecurityAuthority.SystemTime
2007-12-24 16:18:32         C:\virus\Svchost.exe         Modify Key         HKUS\S-1-5-21-3823039485-4102275069-85228267-2060\Software\Policies\Microsoft\Windows
2007-12-24 16:18:33         C:\virus\Svchost.exe         Modify Key         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShutdownWithoutLogon
2007-12-24 16:18:36         C:\virus\Svchost.exe         Modify Key         HKLM\SYSTEM\ControlSet002\Services\TermDD\Start
2007-12-24 16:18:38         C:\virus\Svchost.exe         Modify Key         HKLM\SYSTEM\ControlSet002\Services\TermService
2007-12-24 16:18:40         C:\virus\Svchost.exe         Modify Key         HKUS\S-1-5-21-3823039485-4102275069-85228267-2060\Software\Microsoft\Internet Explorer\Main\Start Page
2007-12-24 16:18:42         C:\virus\Svchost.exe         Modify Key         HKLM\SYSTEM\ControlSet002\Services\wuauserv Start
2007-12-24 16:18:44         C:\virus\Svchost.exe         Modify Key         HKUS\S-1-5-21-3823039485-4102275069-85228267-2060\Software\Microsoft\Windows\CurrentVersion\Run\Winstary
2007-12-24 16:18:46         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:48         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:50         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:52         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:54         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:55         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:57         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:18:59         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:19:01         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:19:49         C:\virus\Svchost.exe         Modify File         \Device\LanmanRedirector\dcnew\zzh\SDGames.exe
2007-12-24 16:19:56         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:19:57         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:00         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:02         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:04         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:06         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:08         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:10         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:11         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:13         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:15         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:17         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:19         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:21         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:23         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:25         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:27         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:29         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:31         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:33         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:35         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:36         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:41         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:42         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:44         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:46         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:48         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:50         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:52         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:54         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:56         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:20:58         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:00         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:02         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:04         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:06         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:07         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:09         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:11         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:13         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:15         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:20         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:22         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:24         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:26         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:28         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:30         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:32         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:34         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:36         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:38         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:40         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:42         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:44         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:46         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:47         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:49         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:51         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:53         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:55         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:57         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:21:59         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:01         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:03         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:05         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:07         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:09         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:22:11         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:13         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\cmd.exe
2007-12-24 16:22:15         C:\virus\Svchost.exe         Modify File         \Device\LanmanRedirector\dcnew\zzh\SDGames.exe
2007-12-24 16:22:19         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:21         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:23         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:25         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:27         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:29         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:22:31         C:\virus\Svchost.exe         Create Process         C:\WINDOWS\system32\rundll32.exe
2007-12-24 16:30:52         C:\WINDOWS\system32\cmd.exe         Access COM Interface         LocalSecurityAuthority.SystemTime
2007-12-24 16:30:55         C:\WINDOWS\system32\cmd.exe         Access COM Interface         LocalSecurityAuthority.SystemTime

[ 本帖最后由 yurius 于 2007-12-24 16:53 编辑 ]
ggcn
发表于 2007-12-24 17:05:05 | 显示全部楼层
原帖由 yurius 于 2007-12-24 16:51 发表
样本是这个
http://bbs.kafan.cn/viewthread.p ... tra=page%3D1&page=2

一直点取消,拦截了全局钩子、修改物理内存、修改时间、提升权限,后来手工kill进程时发现用comodo找不到样本进程。
想开icesword发现被 ...

不是吧,这么厉害,默认规则吗?
用U版的规则看看。。。
yurius
 楼主| 发表于 2007-12-24 17:14:32 | 显示全部楼层

回复 9楼 ggcn 的帖子

默认规则好像差这个

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Debugger,没有防其他的映像劫持

*\SOFTWARE\Classes\.exe\*这些也防的不全

不过这个是试毒,一般来说,一开始的Direct Memory Access就要留意了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 04:12 , Processed in 0.131691 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表