YY上某人发来的可疑文件 简单分析了下

雪白方糖

STCn1000 发表于 2014-10-25 19:01
这类远控微点全靠防火墙拦

       防火墙加主防联动吧

Miostartos

雪白方糖 发表于 2014-10-25 19:19
防火墙加主防联动吧

很遗憾
微点的防火墙和主防不联动
另外也只是联网的时候给你弹个窗，你看到的还是rundll32联网，其他动作都拦截不到更别说杀了

a445441

微点拦截了

胖福

这一类各家基本都能防住了吧！

文件名: rarext.dll
威胁名称: SONAR.Module!gen3
完整路径: 不可用
____________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自
 未知

活动
已执行的操作: 已执行的操作: 1
___________________________

在电脑上的创建时间 
2014/10/25 ( 19:35:55 )

上次使用时间 
2014/10/25 ( 19:41:31 )

启动项目 
否

已启动 
是
____________________________

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

来源: 外部介质

源文件:
rarext.dll
____________________________

文件操作

文件: f:\诺顿样本\病毒\后门\图片\ rarext.dll 已删除
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用







文件名: rarext.dll
威胁名称: SONAR.Module!gen3
完整路径: 不可用
___________________________

详细信息
极少用户信任的文件,  极新的文件,  风险 高

原始
下载自
 未知

活动
已执行的操作: 已执行的操作: 1
____________________________

在电脑上的创建时间 
2014/10/25 ( 19:35:55 )

上次使用时间 
2014/10/25 ( 19:42:59 )

启动项目 
否

已启动 
是
____________________________

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
___________________________

来源: 外部介质

源文件:
rarext.dll
____________________________

文件操作

文件: f:\诺顿样本\病毒\后门\图片(2)\ rarext.dll 已删除
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

雪白方糖

STCn1000 发表于 2014-10-25 19:22
很遗憾
微点的防火墙和主防不联动
另外也只是联网的时候给你弹个窗，你看到的还是rundll32联网，其他动 ...

       官方说是联动的

善良↗小青年

我开着卡巴交互模式，实机运行了，怎么破啊～第一次弹窗点了允许，第二次以后都点了阻止，然后看着卡巴的报告，手动把winrar.inf RarExt64.dll和glamd删除了～请问病毒还能运行起来吗

Renascence

解压诺顿文件智能分析就把dll杀了

fuzhk

以前看到过哪里的介绍吧。。。大致是：快捷方式打开图片，另一个快捷方式调用rundll32打开dll，dll申请内存运行无拓展名文件里源代码。。。

b573684723

好压MISS

EAVKILL 图片的DLL

火绒扫描KILL 两个的DLL

王

fuzhk 发表于 2014-10-25 20:43
以前看到过哪里的介绍吧。。。大致是：快捷方式打开图片，另一个快捷方式调用rundll32打开dll，dll申请内存 ...

原来是这样，可惜不知道怎么解那个dll和无扩展名文件……