Detection ratio: 2 / 56 神网HIPS对比测试 ：ESET hips Vs SpyShelter Firewall

墨家小子

liulangzhecgr 发表于 2016-3-22 16:34

你这是干什么？

善良↗小青年

kis miss all

275751198

解压后才杀
360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2016-03-22 18:08:54     恶意软件(HEUR/QVM203.0.F373.Malware.Gen)MD5:9d225729c3295584a38c8df30ad879d5已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\mpr.dll

五月大地

毋庸置疑，只是对这玩意儿有点儿敏感。

liulangzhecgr

是否任务管理器运行样本？！ 或explorer.exe权限太低？！的缘故 或本人MD规则马虎？！
只发现样本主要写文件（都是文档文件，并没有发现可执行文件-即Dll文件），修改文件，联网 等行为。

2016/3/22 15:51:20    创建新进程    允许
进程: c:\windows\system32\taskmgr.exe
目标: g:\download\tmp5ff5\tmp5ff5.exe
命令行: "G:\Download\TMP5FF5\TMP5FF5.exe"
规则: [应用程序]*

2016/3/22 15:51:49    加载动态链接库    允许
进程: g:\download\tmp5ff5\tmp5ff5.exe
目标: c:\windows\system32\mpr.dll
规则: [应用程序组]病毒测试 -> [动态链接库]*

mpr.dll 系统自带的哦！

2016/3/22 15:52:38    创建新进程    允许
进程: g:\download\tmp5ff5\tmp5ff5.exe
目标: g:\download\tmp5ff5\tmp5ff5.exe
命令行: "G:\Download\TMP5FF5\TMP5FF5.exe"
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 15:53:47    创建文件    允许
进程: g:\download\tmp5ff5\tmp5ff5.exe
目标: C:\Users\baba\Documents\bpknnn.exe
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 15:54:07    创建新进程    允许
进程: g:\download\tmp5ff5\tmp5ff5.exe
目标: c:\users\baba\documents\bpknnn.exe
命令行: C:\Users\baba\Documents\bpknnn.exe
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 15:54:41    加载动态链接库    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\windows\system32\mpr.dll
规则: [应用程序组]病毒测试 -> [动态链接库]*

2016/3/22 15:55:23    创建新进程    允许
进程: g:\download\tmp5ff5\tmp5ff5.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL G:\Download\TMP5FF5\TMP5FF5.exe >> NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 15:55:34    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: G:\Download\TMP5FF5\TMP5FF5.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/3/22 15:55:43    创建新进程    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\users\baba\documents\bpknnn.exe
命令行: C:\Users\baba\Documents\bpknnn.exe
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 15:56:39    结束其他进程    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\windows\system32\taskmgr.exe
规则: [应用程序组]病毒测试 -> [目标应用程序]*


2016/3/22 15:57:19    创建注册表项    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_USERS\S-1-5-18\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:57:35    创建注册表项    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_USERS\.DEFAULT\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:58:21    修改文件    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: \Device\NamedPipe\srvsvc
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 15:58:37    修改注册表值    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_CURRENT_USER\Software\trueimg\ID
值: ca 99 05 8b 3d 08 3d 90
规则: [应用程序组]病毒测试 -> [注册表]*


2016/3/22 15:58:49    修改文件    阻止
进程: c:\users\baba\documents\bpknnn.exe
目标: C:\Users\baba\ntuser.dat.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 15:58:59    创建新进程    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\System32\vssadmin.exe"  Delete Shadows /All /Quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 15:59:04    创建注册表项    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_CURRENT_USER\Software\CA9958B3D83D90
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:59:13    修改注册表值    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_CURRENT_USER\Software\CA9958B3D83D90\data
值: 31 4c 71 72 48 74 44 74 51 58 47 43 6e 48 65 55 6b 69 6a 43 72 58 79 33 58 4e 78 37 41 45 38 53 6a 4b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 7b ca 84 14 d1 a5 61 0f 38 d5 c3 86 d1 f6 ba a1 fe 47 39 27 31 4f 2a d3 c4 67 96 e1 27 e0 d8 c7 ff 83 2c f7 52 57 21 c9 4c 52 4c 64 45 c7 fb 8f 7b 5e 96 4e f0 dc f0 1d fc ae ca 27 31 41 eb 3b f5 b9 76 f1 f6 cd d1 a5 06 92 92 5e 83 24 53 91 d6 17 96 eb fc 56 e6 d5 94 b2 ab e1 bb 83 6f 1b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 e4 3a 18 f5 da 1c c9 f5 f1 a2 60 d0 4e 36 12 0d 97 37 79 0f 85 2f 45 da db d1 18 6e f7 e1 ee 3a e9 16 bb 26 1a ab f2 a8 ca 32 87 91 89 ee 0c 8e 8c cb dd 8a c6 12 ff d9 79 f3 b0 39 77 4e 11 83 00 00 00 00 00 00 00 48 fb f0 56 00 00 00 00
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:59:27    修改注册表值    阻止
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\_pduq
值: C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\baba\Documents\bpknnn.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:59:41    修改注册表值    阻止
进程: c:\users\baba\documents\bpknnn.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLinkedConnections
值: 0x00000001(1)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 15:59:54    创建文件    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: C:\Users\baba\Documents\+recover+file.txt
规则: [应用程序组]病毒测试 -> [文件]*

...

2016/3/22 16:01:21    访问网络    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: TCP [本机 : 49395] ->  [50.87.127.96 : 80 (http)]
规则: [应用程序组]病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/3/22 16:01:40    修改文件    阻止
进程: c:\users\baba\documents\bpknnn.exe
目标: C:\7777\readme.txt
规则: [应用程序组]病毒测试 -> [文件]*

...


2016/3/22 16:14:39    创建新进程    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\System32\vssadmin.exe"  Delete Shadows /All /Quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 16:14:46    创建新进程    允许
进程: c:\users\baba\documents\bpknnn.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL C:\Users\baba\DOCUME~1\bpknnn.exe >> NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

墨家小子

liulangzhecgr 发表于 2016-3-23 09:25
是否任务管理器运行样本？！ 或explorer.exe权限太低？！的缘故 或本人MD规则马虎？！
只发现样本主要写 ...

都说发在这里没有什么卵用，好好看截图，注入系统程序并不是加密勒索木马的行为，是神网发出的，具体是那个进程所为我也不清楚了，非专业

liulangzhecgr

墨家小子 发表于 2016-3-23 10:11
都说发在这里没有什么卵用，好好看截图，注入系统程序并不是加密勒索木马的行为，是神网发出的，具体是那 ...

是否加密文件，我的确不懂！
样本创建的文件和被修改的文件打开就乱码！好像是这样。其数量之多，相当可观。

墨家小子

liulangzhecgr 发表于 2016-3-23 10:32
是否加密文件，我的确不懂！
样本创建的文件和被修改的文件打开就乱码！好像是这样。其数量之多，相当 ...

你可饶了我吧，你运行的木马exe并不能注入explorer，注入explorer另有其人，明白不？