syfwxmh 来 又一强毒过卡巴4D防御

醉一生爱妍

http://labs.idefense.com/software/malcode.php

真服了你怎么找的

Beloved

刚才找到这个地方了，怎么提示下载连接失效，囧、、、、、还需要安装的？？？


PS：EAV 报毒，囧、、、、、、

2009-4-12 10:25:37        HTTP filter        file        http://labs.idefense.com/files/l ... sAnalyzer_Setup.exe        probably unknown NewHeur_PE virus        connection terminated - quarantined        PC-200810151321\Administrator        Threat was detected upon access to web by the application: C:\Program Files\Opera\Opera.exe.

[ 本帖最后由 ahu2422 于 2009-4-12 10:28 编辑 ]

zhaoshilin

谢谢

qianwenxiang

gss测试玩玩..沙盘实机拦截注入explorer之后再结束ms没事了..win目录没改动

ximo

原帖由 WillBeNextKido 于 2009-4-12 09:53 发表
bp LoadLibraryA

F9

然后alt+F9返回

去掉断点

一直跟下去

00401431    0FB706               movzx eax,word ptr ds:[esi]
00401434    0FB74E 02            movzx ecx,word ptr ds:[esi+2]
0040 ...

其实这才刚刚开头，下面的路还远着呢，呵呵
1、创建个注册表，目的是自启动
2、创建互斥
3、创建进程快照，遍历进程，得到explorer.exe的PID（现在开始的代码都是为远程注入做准备，并用OpenProcess打开
4、申请远程地址，写入内容
5、最后就是CreateRemoteThread来执行了

这个写入的代码地址是00400437，无非就是些远控的东西。。。。

醉一生爱妍

感谢

tanlimo

SB在默认情况下应该是阻止沙盘里的程序操作其它进程内存的，所以在运行这个样本后没有任何反应，但是在安装ssm后由于ssm接管了很多函数的控制权其中也包括SB接管的，再次运行这个样本后只要在SSM的询问框中允许样本控制explorer.exe样本就会绕过sb的控制导致穿透情况的发生，看来HIPS装多了也不是什么好事啊。

花间酒

原帖由 ximo 于 2009-4-12 10:46 发表


其实这才刚刚开头，下面的路还远着呢，呵呵
1、创建个注册表，目的是自启动
2、创建互斥
3、创建进程快照，遍历进程，得到explorer.exe的PID（现在开始的代码都是为远程注入做准备，并用OpenProcess打开
4、 ...

这么大动作竟然过卡巴了？！
小心为上

302536811

我的权限才25，囧，再水300多贴就行了。

醉一生爱妍

因为也有很多软件也有类似的手段。。

所以说啊。。编程的规范。。。

杀软也很难做