一种来自中国的"Zero Detection Trojan"：GLASSRAT（EXE）

显示全部楼层 · 发表于 2015-11-26 20:50:31

230f4 发表于 2015-11-26 18:09

好像改名字了

显示全部楼层 · 发表于 2015-11-26 20:54:33

pal家族发表于 2015-11-26 20:46
valid？？？？
怎么可能，已经被吊销了啊！

不了解

显示全部楼层 · 发表于 2015-11-26 20:55:42

230f4 发表于 2015-11-26 20:54
不了解

应该是报告发出之后被铁壳吊销的。估计

显示全部楼层 · 发表于 2015-11-26 20:56:47

君陌潇发表于 2015-11-26 20:50
好像改名字了

有过的。发给我的邮件中说的报毒名和实际报毒名不一样。

那时候感觉很爽

显示全部楼层 · 发表于 2015-11-26 20:58:19

pal家族发表于 2015-11-26 20:55
应该是报告发出之后被铁壳吊销的。估计

有可能。我还没找到样本的时候诺顿就已经入库了

显示全部楼层 · 发表于 2015-11-26 21:28:18

本帖最后由 sanhu35 于 2015-11-26 21:36 编辑

完整点的行为

创建DLL
写自启动
修改驱动服务
用rundll32加载黑DLL
调用CMD自删除
重启后就是黑DLL起作用了

2015-11-26 21:28:48 创建文件允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护高危文件

2015-11-26 21:28:50 修改文件允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护高危文件

2015-11-26 21:28:55 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RasAuto\Parameters\ServiceDll
值: C:\Documents and Settings\All Users\Application Data\updatef.dll
规则: [应用程序组]『询问』病毒测试 -> [注册表组]驱动服务 -> [注册表]*\System\*Controlset*\Services\*\Parameters\*; ServiceDll

2015-11-26 21:28:58 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RasAuto\Start
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-26 21:29:01 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\Select\Default
值: 0x00000002(2)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2015-11-26 21:29:10 创建新进程允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32 "C:\DOCUME~1\ALLUSE~1\APPLIC~1\updatef.dll",AddNum
规则: [应用程序组]『询问』病毒测试

2015-11-26 21:29:14 创建新进程允许
进程: c:\documents and settings\administrator\桌面\flashutil\flashutil.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c erase /F "C:\Documents and Settings\Administrator\桌面\FlashUtil\flashutil.exe"
规则: [应用程序组]『询问』病毒测试

2015-11-26 21:29:16 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\FlashUtil\flashutil.exe
规则: [应用程序组]｛受限｝系统程序 -> [文件组]保护高危文件

显示全部楼层 · 发表于 2015-11-26 22:14:42

这个看着好高端的样子

显示全部楼层 · 发表于 2015-11-26 22:23:10

狐狸糊涂发表于 2015-11-26 13:38
更正一下,BDIS2015汉化版双击
双击后,BD被强暴...怀孕了..

行为控制和入侵检测都不开，专门测试对抗吗

显示全部楼层 · 发表于 2015-11-26 22:33:11

感觉就得用老病毒库来测试双击什么的....入库才杀的马后炮简直没法用..

显示全部楼层 · 发表于 2015-11-26 22:38:21

本帖最后由 ccboxes 于 2015-11-26 22:49 编辑

狐狸糊涂发表于 2015-11-26 13:38
更正一下,BDIS2015汉化版双击
双击后,BD被强暴...怀孕了..

请使用英文版，汉化版无法更新版本，目前英文版2016已经经过了两次版本更新，目前版本是20.0.23.1252

PS：这个毒并不咋样，骚年你的电脑危险了，还是速速2016英文版吧

[病毒样本] 一种来自中国的"Zero Detection Trojan"：GLASSRAT（EXE）

本帖子中包含更多资源

本帖子中包含更多资源

评分