来自毒霸论坛的，不算新鲜的DNF远控。

pal家族

驭龙 发表于 2015-11-21 20:41
那我还是算了吧，哈

O(∩_∩)O哈！

sanhu35

这种结构的文件排列，有经验的人一看就知道的木马 或者 白+黑。

快捷方式+图+DLL+BAT
下列几个文件只有lnk快捷方式是显示的，其他文件都是普通隐藏了。



加密的BAT




运行图标快捷方式后指向Bat文件，调用rundll32.exe  加载 黑 mozcrt.dl 这里阻止了就完事了。



2015-11-21 20:38:43    创建新进程    阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe mozcrt.dll,setbytes -fn PpkzgyuXxofhn
规则: [应用程序]* -> [子应用程序]｛受限｝系统程序 -> [应用程序]c:\windows\system32\rundll32.exe

========================

允许看看






加载黑DLL

这步阻止也可以搞定他



这个再次释放的DLL 火绒行为报毒

2015-11-21 20:43:57    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Documents and Settings\Administrator\Application Data\setbytes\license.dll
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件



2015-11-21 20:44:05    结束其他进程    阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序]*

持续联网监听
2015-11-21 20:44:10    访问网络    允许
进程: c:\windows\system32\rundll32.exe
目标: TCP [本机 : 1305] ->  [119.135.66.18 : 2627]
规则: [应用程序组]｛受限｝系统程序 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]



最后黑DLL 联网，火绒报的很清楚。  如果前面没有任何提示，突然蹦出DLL 联网的  就要警惕中木马了

yuzhi3366853

pal家族 发表于 2015-11-21 15:31
多个文件。。。

哈哈，我关了再下

sanhu35

辽宁大连~~小海 发表于 2015-11-21 14:47
唉，我还能说什么呢

ESET 对白+黑很弱

辽宁大连~~小海

sanhu35 发表于 2015-11-21 21:25
ESET 对白+黑很弱

我再不双击了

请叫我德玛西亚

趋势无反应       不知道趋势能不能防这个                              

Luca.l

辽宁大连~~小海 发表于 2015-11-21 14:47
唉，我还能说什么呢

赶紧去双击，相信ESET能保你平安

请叫我德玛西亚

sanhu35 发表于 2015-11-21 20:48
这种结构的文件排列，有经验的人一看就知道的木马 或者 白+黑。

快捷方式+图+DLL+BAT

大大  你的md规则还更不更新吗  更新的话分享我一份  谢谢

愁思纷繁若斯

FS miss 没双击。

pal家族

请叫我德玛西亚 发表于 2015-11-21 21:50
趋势无反应       不知道趋势能不能防这个

双击无反应。