File name: TMP8789.exe Detection ratio: 3 / 54 ESET+SSF再战神网，结局是五五开

墨家小子

SHA256:        2d5a58e719dba7c19b6dfc6f04a8c18ba0cc0164799d1cdad8f92d7762477b17
File name:        TMP8789.exe
Detection ratio:        3 / 54
Analysis date:        2016-03-19 00:43:54 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/2d5a58e719dba7c19b6dfc6f04a8c18ba0cc0164799d1cdad8f92d7762477b17/analysis/1458348234/

AhnLab-V3        Trojan/Win32.Teslacrypt        20160318
Baidu        Win32.Trojan.WisdomEyes.151026.9950.9999        20160318
Qihoo-360        QVM07.1.Malware.Gen        20160319

先说结果，注销之后，那些异常的系统程序消失了，但打开浏览器不能上网，管理器看不到陌生程序启动，但找到了一些线索，从来没见到IE启动conhost.exe，然后它再启动别的系统程序，神奇，见图：


或许在这一步拦截注入就好了，提示：这一步，SSF是拦截不到的，见图：


结论：因为拦截不到explorer被注入，以及explorer再对其他系统程序的注入，所以注销之后那些异常的系统程序还会出现，也就是这个帖子里的HIPS都拦截不了（http://bbs.kafan.cn/thread-1936040-1-1.html），虽然它们拦截了木马exe的启动运行，但是通过ie引发的血案注入，它们是拦截不了的！至于被注入的explorer生成了什么，暂时看不到，等下次测试再说

再说一点就是，通过对这个神网的测试，可以看到对于样本双击测试的效果远远没有实际进入挂马网页检测来得真实（这个神网带来的木马在ESET的诸多拦截下，直接报错死掉了，但通过网页攻击注入的渗入并未防御成功）。这也就是说，对于漏洞攻击的防护是第一位的，也是最为关键的一步，进入本地之后的防御已经是城门失火招呼消防大队了。

墨家小子

想要测试的同学，速度PM我，希望测试的同学看到你的帖子，详述测试过程，请勿泄露神网地址，切记
最好vpn或者SS，我是SS开全局搭配IE（可以试试别的浏览器），一个IP不行就清空缓存，再换IP测试

有跟http://www.wilderssecurity.com/ Dan大神认识的朋友，也可以把这个神网告诉他，让他自己测试VS，看看VoodooShield是如何在注入的攻击下被玩残的，你以为拦截到木马就是完胜？

@qftest 来嘛，玩一哈嘛

蓝天二号

ESS  云

Luca.l

墨家小子

a1121611810 发表于 2016-3-19 09:29

报告领导，看到了，一代神杀，代码混淆器，为什么不搞成主防那种弹窗啊，多有卖点

Luca.l

墨家小子 发表于 2016-3-19 09:34
报告领导，看到了，一代神杀，代码混淆器，为什么不搞成主防那种弹窗啊，多有卖点

撒列，....誰が知っていますか？或许想一条代码杀通关憋。

墨家小子

a1121611810 发表于 2016-3-19 09:39
撒列，....誰が知っていますか？或许想一条代码杀通关憋。

通用杀法，通用主防，通用的都是其实大家心里明镜似的，谁不知道怎么回事啊

z2009

双击，红伞杀

ymb668888

卡巴云杀，话说，卡巴云拉黑的速度是真快
19.03.2016 09.41.13;检测到对象 ( 文件 ) 。;C:\Users\Administrator\Downloads\病毒测试\TMP8789.exe;Microsoft Windows Search Protocol Host;C:\Users\Administrator\Downloads\病毒测试\TMP8789.exe;03/19/2016 09:41:13;UDS:DangerousObject.Multi.Generic

墨家小子

ymb668888 发表于 2016-3-19 09:43
卡巴云杀，话说，卡巴云拉黑的速度是真快
19.03.2016 09.41.13;检测到对象 ( 文件 ) 。;C:%us ...

小红伞笑而不语