File name: d3d10core.dll Comodo全开战斗模式 Vs 神网渗透攻击+加密勒索挂马 毛豆败

电脑发烧友

楼主测试环境未注意，逗比了，无视以下文字。



测试环境VM12 WIN7*32  已做反检测处理——禁读vm注册表，vm文件，以及关闭VM的一些后门。
COMODO V8最新版，规则——自编规则，配置——疯狂模式，全程无入沙。
创建子进程
修改注册表，忘记截图了。
再次创建子进程

修改注册表

创建子进程。

修改注册表（还有很多，未全部截图）

提权

修改文件（之后如此循环）

最终结果，刷日志。


测试真实性部分证明，期间自动阻止了调用cmd

使用ARK工具查看ProgramData下并未出现病毒dll，使用微软提供的行为监视工具未发现系统程序的异常行为，但是也没有发现创建病毒dll的行为。
推测：
1.在此环境下不创建病毒dll
2.由于阻止了某个行为，比如调用cmd，缺少触发条件。
3.随机发作（大致可以排除，试过三次）。




总结，在该环境下毛豆可以防御此样本，出现楼主情况的可能原因。
1.可能是因为测试环境不同导致行为不同。
2.可能于某些软件冲突。
3.毛豆采用的默认规则，防御不够严谨。

windows7爱好者

电脑发烧友 发表于 2016-3-25 19:48
测试环境VM12 WIN7*32  已做反检测处理——禁读vm注册表，vm文件，以及关闭VM的一些后门。
COMODO V8最新 ...

楼主的帖子，你真的看了吗.......
网页挂马啊，亲

电脑发烧友

windows7爱好者 发表于 2016-3-25 19:50
楼主的帖子，你真的看了吗.......
网页挂马啊，亲

好吧，逗了

酒醒寂寞饮小雨

windows7爱好者 发表于 2016-3-25 19:19
注入无解？
ESS在旁边笑了

只是看“墨家小子”精神可赞，后生可畏。
至于你...,你把ESS测出来再说
IE白名单注入
不测不回

windows7爱好者

酒醒寂寞饮小雨 发表于 2016-3-25 19:58
只是看“墨家小子”精神可赞，后生可畏。
至于你...,你把ESS测出来再说
IE白名单注入

我可没有地址，而且ESS人家也测了，注意看老帖子

dsb2466

下周你可以测试毒霸防御了。..敲诈者。。嘿嘿

T.Yoshiyuki

windows7爱好者 发表于 2016-3-25 19:21
DG断网双击
15秒后击杀

一直不明白DG断网后还能测出“受欢迎度” 理论上断网时只有行为分析啊
信誉测不出很正常

windows7爱好者

T.Yoshiyuki 发表于 2016-3-25 20:48
一直不明白DG断网后还能测出“受欢迎度” 理论上断网时只有行为分析啊
信誉测不出很正常

这里的非常见其实是未知的意思，中文翻译的不够准确

花心测试

别指望毛豆这些的杀毒软件查杀病毒了。

墨家小子

电脑发烧友 发表于 2016-3-25 19:48
楼主测试环境未注意，逗比了，无视以下文字。

你不是第一个也不是最后一个，真心不是打击你，以前有个挂马网页直接穿破毛豆所有防御添加启动项，你可以翻翻老帖或者问问你们毛豆区的版主，还有当时参加测试的人，a大就是其中之一
送你两个字吧
天真