转吾爱一个样本

Microsoftheihei

诺顿无力

dsb2466

kfm99 发表于 2016-8-23 13:37
搞AV的这群人根本啥都不懂本地防御。
要我设计。直接禁止hkml\system\*，封杀100种注册表写启动。再弄个注 ...

然后某个厂商更新了一个文件，不在你的白名单里，然后用户铺天盖地而来，猝

liulangzhecgr

2016/8/23 15:06:03    加载动态链接库    允许
进程: g:\download\update\update\instset.exe
目标: g:\download\update\update\kugou.dll
规则: [应用程序组]病毒测试 -> [动态链接库]*

2016/8/23 15:11:24    创建文件夹    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp
规则: [应用程序组]病毒测试 -> [文件]*

2016/8/23 15:11:30    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp\io.dat
规则: [应用程序组]病毒测试 -> [文件]*

2016/8/23 15:11:33    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp\temp.dat
规则: [应用程序组]病毒测试 -> [文件]*

2016/8/23 15:11:54    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp\dllhost.exe
规则: [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.exe

2016/8/23 15:12:01    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp\kugou.dll
规则: [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.dll

2016/8/23 15:12:07    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Users\baba\AppData\Roaming\showshowsshzp\config.dat
规则: [应用程序组]病毒测试 -> [文件]*

2016/8/23 15:12:39    修改注册表值    允许
进程: g:\download\update\update\instset.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Path
值: C:\Users\baba\AppData\Roaming\showshowsshzp\dllhost.exe
规则: [应用程序组]病毒测试 -> [注册表]*

2016/8/23 15:13:01    创建文件    允许
进程: g:\download\update\update\instset.exe
目标: C:\Program Files\Common Files\RestrictOne.dll
规则: [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.dll

2016/8/23 15:13:20    创建注册表项    允许
进程: g:\download\update\update\instset.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll
规则: [应用程序组]病毒测试 -> [注册表]*

2016/8/23 15:13:42    修改注册表值    允许
进程: g:\download\update\update\instset.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\AdminDll\DllPath
值: C:\Program Files\Common Files\RestrictOne.dll
规则: [应用程序组]病毒测试 -> [注册表]*

2016/8/23 15:14:17    加载动态链接库    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\unimdm.tsp
规则: [应用程序]c:\windows\system32\svchost.exe

2016/8/23 15:14:27    加载动态链接库    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\kmddsp.tsp
规则: [应用程序]c:\windows\system32\svchost.exe

2016/8/23 15:14:34    加载动态链接库    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\ndptsp.tsp
规则: [应用程序]c:\windows\system32\svchost.exe

2016/8/23 15:14:44    加载动态链接库    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\hidphone.tsp
规则: [应用程序]c:\windows\system32\svchost.exe

诸葛亮

红伞无力

pal家族

诸葛亮 发表于 2016-8-23 16:27
红伞无力

你需要和工程师面基才能入库
你看卡巴一开始只杀那个temp。dat，因为那玩意好像一直没更新
但是我今天闲得慌，就把其余的上报了

xcvbaby

金山毒霸：kill

请叫我德玛西亚

这个可以

左手

[mw_shl_code=css,true]2016-8-23 23:52:40    创建文件夹 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: C:\Documents and Settings\Administrator\Application Data\showshowsshzp
规则: [应用程序]?:\*\*\*\*\* -> [文件]c:\documents and settings\*\application data\*

2016-8-23 23:52:52    创建文件 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: C:\Documents and Settings\Administrator\Application Data\showshowsshzp\io.dat
规则: [应用程序]?:\*\*\*\*\* -> [文件]c:\documents and settings\*\application data\*

2016-8-23 23:53:01    创建文件 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: C:\Documents and Settings\Administrator\Application Data\1.jpg
规则: [应用程序]?:\*\*\*\*\* -> [文件]c:\documents and settings\*\application data\*

2016-8-23 23:53:03    加载动态链接库 风险级别:中    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: c:\windows\system32\setupapi.dll
规则: [应用程序组]主动防御_驱动加载 -> [应用程序]* -> [动态链接库]c:\windows\system32\setupapi.dll

2016-8-23 23:53:03    创建注册表项 风险级别:中    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PortProxy
规则: [注册表组]拦截_Drivers\Servieces -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services

2016-8-23 23:53:04    加载动态链接库 风险级别:中    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: c:\windows\system32\clbcatq.dll
规则: [应用程序组]主动防御_驱动加载 -> [应用程序]* -> [动态链接库]c:\windows\system32\clbcatq.dll

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-8-23 23:53:04    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-8-23 23:53:14    创建新进程 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\Documents and Settings\Administrator\Application Data\1.jpg
规则: [应用程序]?* -> [子应用程序]?:\windows\system32\rundll32.exe

2016-8-23 23:53:38    创建注册表项 风险级别:中 (12)    阻止
进程: c:\documents and settings\administrator\桌面\update\instset.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PortProxy
规则: [注册表组]拦截_Drivers\Servieces -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
[/mw_shl_code]

kfm99

dsb2466 发表于 2016-8-23 15:09
然后某个厂商更新了一个文件，不在你的白名单里，然后用户铺天盖地而来，猝

笨蛋，我说的是注册表的白位置

阿里小白帽

就是一个后门而已