Detection ratio: 7 / 56 BD主防 Vs 神网注入渗透攻击 结果败了 还杀不到木马DLL

墨家小子

SHA256:        90edaf2739fec412c7ac1efcaf2e13a20058363b9c4cafa418049d94eaa6b674
File name:        tmpc533.exe
Detection ratio:        7 / 56
Analysis date:        2016-03-20 17:12:12 UTC ( 2 minutes ago )
https://www.virustotal.com/en/file/90edaf2739fec412c7ac1efcaf2e13a20058363b9c4cafa418049d94eaa6b674/analysis/1458493932/

Bkav        HW32.Packed.38F9        20160319
Malwarebytes        Ransom.TeslaCrypt        20160320
McAfee        Suspect-AN!CE8B3AC9D03A        20160320
McAfee-GW-Edition        BehavesLike.Win32.Virut.fc        20160320
Qihoo-360        QVM20.1.Malware.Gen        20160320
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160320
Symantec        Suspicious.Cloud.5        20160320

BD主防先是毫不例外的对于加密勒索木马拦截，然而这并没有什么卵用，被注入的explorer开始了一天辛勤的操作，不停的四处注入，于是很多能联网的系统程序被注入被启动被利用来下载什么东西……别以为杀了加密勒索木马你就赢了，拦截不到注入行为，你一样挂掉








注销一下，看看被注入的系统程序还有什么新花样。拦截截图显示（注意PCHunter中显示的父进程）被注入的explorer启动regsvr32，然后regsvr32其实就是木马dll启动taskhost，taskhost开始向宇宙深处的各种系统程序发出信号，大家欢聚一堂……尼玛，BD还不如IDP呢，起码IDP还能杀个木马DLL，就算杀不干净，杀的稀里糊涂，好歹也杀了

liulangzhecgr

貌似 若有hips 稍微留意能防御此 样本的恶意行为！

系统：win7 x32
运行环境：受限用户+组策略 ->管理员+特权运行样本！

2016/3/22 09:13:20    创建文件    允许
进程: g:\download\tmpc533\tmpc533.exe
目标: C:\Users\baba\Documents\eqgclo.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/3/22 09:13:44    创建新进程    允许
进程: g:\download\tmpc533\tmpc533.exe
目标: c:\users\baba\documents\eqgclo.exe
命令行: C:\Users\baba\Documents\eqgclo.exe
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:14:20    结束其他进程    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: c:\windows\system32\taskmgr.exe
规则: [应用程序组]病毒测试 -> [目标应用程序]*

2016/3/22 09:14:41    创建注册表项    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_USERS\S-1-5-18\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:15:04    创建新进程    允许
进程: g:\download\tmpc533\tmpc533.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL G:\Download\tmpc533\tmpc533.exe >> NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:15:46    创建新进程    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\System32\vssadmin.exe"  Delete Shadows /All /Quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:15:52    创建注册表项    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:16:03    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\vssadmin.exe
消息: WM_GETICON
规则: [应用程序]*

2016/3/22 09:16:11    修改文件    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:16:16    修改文件    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: \Device\NamedPipe\srvsvc
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:16:27    修改注册表值    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\trueimg\ID
值: dd f3 84 92 bd 29 33 b2
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:16:43    修改文件    阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Users\baba\ntuser.dat.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:17:09    修改注册表值    阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\_xxcw
值: C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\baba\Documents\eqgclo.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:17:37    修改文件    阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Windows\System32\config\SOFTWARE.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:17:44    创建文件    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Users\baba\Documents\+recover+file.txt
规则: [应用程序组]病毒测试 -> [文件]*

...

2016/3/22 09:26:52    访问网络    允许
进程: c:\users\baba\documents\eqgclo.exe
目标: TCP [本机 : 49188] ->  [50.87.127.96 : 80 (http)]
规则: [应用程序组]病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
...

z2009

解压诺顿杀

saga3721

红伞云查杀'TR/Crypt.ZPACK.Gen2 (Cloud)' [trojan]

tgzw1680

速度pm网址，哈哈，你是什么系统？需要找一样的有漏洞的系统估计才能注入成功

MXCERILYF!

毒霸云启发kill

cfhdrty

666，fs经常出动dg，监控就跟没装一样

pal家族

趋势科技有个功能叫：立即关闭被黑客入侵的程序。
不知道效果怎么样。。。

胖福

新版BD的IDS基本等同于摆设了！

jmekoda1

问题是在我这里   BD完美拦截

没有任何注入跟联网动作

jmekoda1

补上图