磁碟机瞬间秒杀卡巴7

Redevil

开自我保护的前提下，卡巴直接被关闭
有其他主动防御和HIPS的朋友可以运行试试看，不过要小心点
是做了免杀的磁碟机

[ 本帖最后由 Redevil 于 2008-3-3 10:40 编辑 ]

hyxhcp

是用的最新325版吗？

Redevil

是的
有保护措施的朋友可以试试

细路(L)

瞬间运行的效果,这只是小部分,会不断地增加.. 爽啊...进程名字还真会伪装...

Redevil

我运行了下
发现就是smss.exe和lsass.exe这主要的两个

[ 本帖最后由 Redevil 于 2008-3-3 10:40 编辑 ]

wqxcx

下载失败 费尔直接不让下



[ 本帖最后由 wqxcx 于 2008-3-3 02:02 编辑 ]

细路(L)

现在秒卡巴的真多....
sandboxie可没显示生成在哪里这我也搞不清楚,一运行就把我的TT浏览器给挂了...然后进程就猛出你那两个...
搞笑的是虽然sandboxie没显示生成什么文件,但当我清除内容时却一切安静下来...
不知道是不是TT在sandboxie里运行时无缘无故挂了的BUG显示不出...

[ 本帖最后由 细路(L) 于 2008-3-3 02:23 编辑 ]

stonejr

又是垃圾消息洪水?

九尾野狐

磁碟机


样本运行后会对 事先运行的SRENG发生消息洪水      阻止了就没事了



样本释放的驱动文件名还是和以前的磁碟机释放的驱动文件名一样

实机测试    样本对系统毫无破坏   实现运行的SRENG也没事






测试日志   每次遇到的磁碟机都说是最新变种   但是运行下来  拦截的动作都一模一样   生成的文件名字也一模一样  尤其是那个sys的驱动文件   都是叫NetApi000.sys   

这种最多也就是国内的针对磁碟机主程序的新免杀而已




2008-03-03 02:34:48    运行应用程序      操作:允许
进程路径:C:\Program Files\zabkat\xplorer2\xplorer2_UC.exe
文件路径:F:\Once\pagefile\pagefile.pif
触发规则:所有程序规则->限制运行目录->F:\Once\*

2008-03-03 02:35:04    删除注册表      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-03-03 02:35:05    删除注册表      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2008-03-03 02:35:06    修改注册表内容      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:Type
更改后:radio
更改前:checkbox
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*

2008-03-03 02:35:16    运行应用程序      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\cacls.exe
命令行:C:\windows\system32\com /e /t /g sun:F
触发规则:所有程序规则->*

2008-03-03 02:35:20    运行应用程序      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\cacls.exe
命令行:C:\windows\system32\com /e /t /g Everyone:F
触发规则:所有程序规则->*

2008-03-03 02:35:20    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\00302.log
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 02:35:20    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\NetApi000.sys
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.sys

2008-03-03 02:35:33    安装服务或者驱动      操作:阻止
进程路径:C:\windows\system32\services.exe
文件路径:C:\NetApi000.sys
触发规则:所有程序规则->限制运行目录->?:\*

2008-03-03 02:35:35    运行应用程序      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\cmd.exe
命令行:/c echo ok
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

2008-03-03 02:35:37    修改文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 02:35:37    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com\smss.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 02:35:37    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com\netcfg.000
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 02:35:37    创建注册表值      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2008-03-03 02:35:38    运行应用程序      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\regsvr32.exe
命令行:C:\windows\system32\com\netcfg.dll /s
触发规则:所有程序规则->系统工具->%windir%\system32\regsvr32.exe

2008-03-03 02:35:38    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 02:35:38    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 02:35:38    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 02:35:38    创建文件      操作:阻止
进程路径:F:\Once\pagefile\pagefile.pif
文件路径:C:\lsass.exe.48907140.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


最后会不停的创建C:\lsass.exe.48*.exe  文件    数字随机

[ 本帖最后由 没注册 于 2008-3-3 03:14 编辑 ]

九尾野狐

本帖样本的运行测试

也是事先已经运行SRENG

目前测试了很多磁碟机了   拦截的日志都一模一样

SRENG完好  系统未被破坏









2008-03-03 03:04:37    删除文件      操作:阻止
进程路径:C:\windows\system32\cmd.exe
文件路径:C:\WINDOWS\system32\CatRoot2\edb.chk
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 03:07:24    运行应用程序      操作:允许
进程路径:C:\Program Files\zabkat\xplorer2\xplorer2_UC.exe
文件路径:F:\Once\setup\Setup.exe
触发规则:所有程序规则->限制运行目录->F:\Once\*

2008-03-03 03:07:32    进程间消息操作      操作:阻止
进程路径:F:\Once\setup\Setup.exe
目标进程:D:\Safe SOFT\sreng2\SREngPS.EXE
消息类型:WM_NULL
触发规则:所有程序规则->*

2008-03-03 03:07:37    删除注册表      操作:阻止
进程路径:F:\Once\setup\Setup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2008-03-03 03:07:39    运行应用程序      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\cmd.exe
命令行:/c echo ok
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

2008-03-03 03:07:42    删除注册表      操作:阻止
进程路径:F:\Once\setup\Setup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

2008-03-03 03:07:44    修改注册表内容      操作:阻止
进程路径:F:\Once\setup\Setup.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:Type
更改后:radio
更改前:checkbox
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*

2008-03-03 03:07:46    运行应用程序      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\cacls.exe
命令行:C:\windows\system32\com /e /t /g sun:F
触发规则:所有程序规则->*

2008-03-03 03:07:47    运行应用程序      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\cacls.exe
命令行:C:\windows\system32\com /e /t /g Everyone:F
触发规则:所有程序规则->*

2008-03-03 03:07:47    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\00302.log
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 03:07:47    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\NetApi000.sys
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.sys

2008-03-03 03:08:01    安装服务或者驱动      操作:阻止
进程路径:C:\windows\system32\services.exe
文件路径:C:\NetApi000.sys
触发规则:所有程序规则->限制运行目录->?:\*

2008-03-03 03:08:07    修改文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 03:08:07    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com\smss.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 03:08:07    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com\netcfg.000
触发规则:所有程序规则->全局写入设置_普通模式->%windir%\*

2008-03-03 03:08:07    创建注册表值      操作:阻止
进程路径:F:\Once\setup\Setup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
触发规则:所有程序规则->系统设置_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager

2008-03-03 03:08:09    运行应用程序      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\regsvr32.exe
命令行:C:\windows\system32\com\netcfg.dll /s
触发规则:所有程序规则->系统工具->%windir%\system32\regsvr32.exe

2008-03-03 03:08:09    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 03:08:09    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 03:08:09    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\windows\system32\com\lsass.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-03-03 03:08:09    创建文件      操作:阻止
进程路径:F:\Once\setup\Setup.exe
文件路径:C:\lsass.exe.272281.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe




随后会一直生成C:\lsass.exe.*.exe   数字随机