毛豆已更新。。。

http://bbs.kafan.cn/thread-2057755-1-1.html
------------------------------------分割线---------------------------------------
16-10-4
comodo已更新，更新后可以正常拦截了

电脑发烧友

这类样本的发作方式比较常见，只需要严格控制子进程即可，仅仅根据日常使用的经验，一般的程序不会去调用rundll32，所以看到此类行为只需要检查一下文件即可。

諾言敵不過時間

你試試看那個Proactive組態的

諾言敵不過時間 发表于 2016-9-25 16:25
你試試看那個Proactive組態的

什么意思，能说的清楚一点吗？

HEMM

68221281 发表于 2016-9-25 16:28
什么意思，能说的清楚一点吗？

打开BUG豆界面，在一般配置的配置一栏找这个，双击2楼说的规则。
另，请不要在实机的情况下，并且没掌握好怎么运用的时候就去双击样本。

HEMM 发表于 2016-9-25 16:47
打开BUG豆界面，在一般配置的配置一栏找这个，双击2楼说的规则。
另，请不要在实机的情况下，并且没掌 ...

谢谢，不知道这是不是你说的那个严格模式
不过没用！！！   默认还是不入沙，hips无拦截，防火墙都不询问。这个白加黑用的联网exe，有YY的数签，不知道是不是这个原因。但貌似YY不在comodo的信任组里面啊。。。

諾言敵不過時間 发表于 2016-9-25 16:25
你試試看那個Proactive組態的

没有用，你试试自己的规则

HEMM

68221281 发表于 2016-9-25 17:08
没有用，你试试自己的规则

我下载了两次样本，在下载的过程中WD自动清除，我这边无法还原，我想看看是什么鬼。结果还卡UAC了,RS系统.......
重启了两次。
请问压缩包内都有什么文件？
从帖子那里好像看到了DLL，BUG豆的沙盘.......
反正是从我用到现在，一直没看见入过DLL文件类型。
后面有人贴了图，你这个不是入沙了吗？就是DLL没入。
保险起见，有杀毒和扫描器的话还是扫扫看吧。
BUG豆要用最好都开启了，别指望沙盘和默认规则能够万毒不侵，除非你的电脑内压根没什么重要资料就无所谓，我个人是目前没弄规则是单独用了自动沙盘和防火墙的，但是从以前样本区的帖子，到今天来看，并不入DLL类型的文件。
虽然把.exe入了进去......建议还是扫扫看，如果是利用漏洞类型的话，BUG豆沙盘一定跪，开着BUG+，规则会弄也许抵挡一分两分，靠默认规则的，跪！

HEMM 发表于 2016-9-25 17:30
我下载了两次样本，在下载的过程中WD自动清除，我这边无法还原，我想看看是什么鬼。结果还卡UAC了,RS系 ...

是个白加黑远控。有很多个文件，一般是白文件启动后加载黑dll变病毒。WD把卡饭拉黑了，试试关闭实时监控下载。解压后，点击那个图片快捷方式“价格表”就启动了。然后就如我上面的情况。
还不行就你等等，我去发个百度网盘。那个样本我给错了 ，有下了的不好意思啊。

HEMM

68221281 发表于 2016-9-25 17:49
是个白加黑远控。有很多个文件。WD把卡饭拉黑了，试试关闭实时监控下载。
还不行就你等等，我去发个百 ...

不是，我这边WD卡UAC........
你也看到了，只有.exe被入进去了。
再怎么测也是一个结果啊，我的和你的沙盘规则是一样的........都是未知入沙，就算是双击，结果和你百分百一样，样本区以前有人双击，没入过dll，我用到现在也没入dll，顺带说一下 ，DB,PNG,JPG，都没入.....
所以算沙盘管制不全......或者为了效率性能之类的，自动的放过了这种类型的文件。
白加黑利用这些个话，入了执行的算是管住了。
呃.......输出字节66...好吧，别单独使用沙盘了= =
防火墙规则要另改，不受认可的全部禁止外联。
哎..........不用BUG+并且自定义规则玩的很转的话，这算是BUG豆败了。

编辑掉。