能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

显示全部楼层 · 发表于 2009-5-21 07:52:48

本帖最后由 107 于 2010-12-15 17:50 编辑

样本来自病毒区...
不知是否真能穿透....SD用户试试...

显示全部楼层 · 发表于 2009-5-21 07:55:00

2009-05-21 07:58:38 运行应用程序操作:阻止并结束进程
进程路径:F:\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls C:\WINDOWS /e /p everyone:f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe

显示全部楼层 · 发表于 2009-5-21 09:18:38

http://www.shadowdefender.com/

这儿的可以吗？偶试试...

显示全部楼层 · 发表于 2009-5-21 09:52:29

这个应该是虚拟区的事吧，它的全部动作是什么？有谁拿分析报告上来。

显示全部楼层 · 发表于 2009-5-21 10:13:51

样本区一朋友的分析，未经同意直接转载。

共享c:\windwos跟临时文件夹
2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls C:\WINDOWS /e /p everyone:f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls "e:\Temp\" /e /p everyone:f

关闭eset的服务,并结束
2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config ekrn start= disabled

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ekrn.exe /f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im egui.exe /f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ScanFrm.exe /f

创建func.dll并调用
2009-05-21 07:59:06       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\func.dll

2009-05-21 07:59:06       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:func.dll, droqp

联网下载网马
2009-05-21 07:48:31 创建文件
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\CAKTUFW9.dll

2009-05-21 07:48:34 创建文件
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\main[1].dll

往system32创建dll跟驱动
2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\phpi.dll

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys

添加服务
2009-05-21 07:59:30       注册表保护(修改注册表内容)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCIDump
注册表名称:Start

修改host文件
2009-05-21 07:59:30       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts

往每个盘创建1.exe跟autorun.inf
2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\1.exe

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\autorun.inf

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\1.exe

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\autorun.inf

2009-05-21 07:59:30       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\ipconfig.exe
命令行:/all

继续下载网马
2009-05-21 07:59:32       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\1[1].exe

2009-05-21 07:59:32       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\CAQR2BU9.exe

全盘感染exe
2009-05-21 07:59:32       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\download\Dprm.exe

2009-05-21 07:59:34       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\download\EQView\EQView.exe

显示全部楼层 · 发表于 2009-5-21 10:46:50

能穿很正常。
不必惊讶，不必惊慌~

显示全部楼层 · 发表于 2009-5-21 13:01:42

如果日志完全，只一个pcidump.sys，我觉得穿不了，呼唤鹦鹉四号MM，虚拟机测试

显示全部楼层 · 发表于 2009-5-21 13:02:24

看 5 楼的日志

我这边应该也能防

我就不开虚拟机了

显示全部楼层 · 发表于 2009-5-21 13:07:44

你得试试，应该加两个驱动再替换系统文件，那样穿透的概率大些

显示全部楼层 · 发表于 2009-5-21 13:16:03

能穿不是什么大问题了，不是早说了要影子配合杀软吗
当然纯做实验玩样本到时个不错的

[已解决] 能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

回复 8楼 ahu2422 的帖子