第一次实战 Comodo首开D+！！

sfzjn

起因是中午有人在群里推销一个远程控制


凭着我对毛豆的自信，我开始当小白鼠。先说下我的装备，监控红伞，毛豆只装了纯墙，我以为纯墙能挡住，结果

他先把东西传过来，我解压，红伞就报了



为了试验，我把监控关了，再运行，中招了，墙没反应，他就看见我了。。



已经中招了，用process explorer和XT查进程都正常，启动项也正常，我开始怀疑是dll注入，也懒得慢慢找dll了。。于是，我决定开D+试下
我以前没用过D+，为了安全，我选择安全模式，重启，关红伞监控，再运行毒，D+发威了
我在这儿就选拦截了，不敢再点击允许看他后面的动作了，高手可以试下，看他后面会干些什么。。。

这时我领悟了，果然D+才是王道！！！ 但是后才我的几乎每个操作D+都会弹出来问，很烦，索性就关了不知毛豆大虾有些啥建议不，只能慢慢打磨毛豆才行，还是下载别人的规则？？？

下午考完试回来，我把这个“毒”发到在线沙盘CIMA和virustotal试了下，有兴趣的可以看下
http://camas.comodo.com/cgi-bin/submit?file=0c985381953699ad6e61e10f9e31f9ffe9c27705bec0685818debe77402e3bfc

http://www.virustotal.com/zh-cn/analisis/203a13e00d43fc609a727d15812297853970cd1d8e1273480b0baf6732d4051e-1263545066

卡巴居然没扫出来，很惊讶，在中国占大市场的有360，卡巴，RX。。。。这三个都没报，不禁为国内用户担心了。

至此时间告一段落，虽然我实际体验到了D+的强大之处，但还是忍受不住他的弹窗，关之，继续纯墙 。。

写到这我有几个疑问，希望高手解答下：这个毒真的是dll注入吗？？
是dll注入的话查启动项就没作用了？？
只能用XT在dll里慢慢找未知项吗？？
是不是把病毒解压出来但不运行就是绝对安全的？？

我把这个毒传上来，希望高手能给出个完美的解答方案哈！！

夏春秋

纯墙不监控父进程，不能防泄漏

sfzjn

SF自己坐

sfzjn

回复 2# rushmore


    我以为他就是个联网的exe。唉

hehuo

看得有点怕怕，HIPS不可不装啊

sfzjn

最新消息：传到ThreatExpert看了下

#	Filename(s)	File Size	File Hash	Alias
1	%Temp%\BClib\dp1.fne %Temp%\E_4\dp1.fne	114,688 bytes	MD5: 0x6D4B2E73F6F8ECFF02F19F7E8EF9A8C7 SHA-1: 0x09C32CA167136A17FD69DF8C525EA5FFECA6C534	Trojan.Autorun.kku [PCTools] W32/AutoRun-MO [Sophos] Trojan.Win32.AutoRun [Ikarus]
2	%Temp%\BClib\Exmlrpc.fne %Temp%\E_4\Exmlrpc.fne	73,728 bytes	MD5: 0xF79EE77A4F30401507E6F54A61598F58 SHA-1: 0x7F3EF4945F621ED2880FF5A10A126957B2011A17	(not available)
3	%Temp%\BClib\krnln.fne %Temp%\BClib\krnln.fnr %Temp%\E_4\krnln.fnr	417,792 bytes	MD5: 0x7567BA52775AA0A1A9B88D873479BD56 SHA-1: 0xD0E93B703C23CD77A1AC02BDAA496A0F9095CF61	packed with UPX [Kaspersky Lab]
4	%ProgramFiles%\Kuivccccs\srvany.exe	8,192 bytes	MD5: 0x4635935FC972C582632BF45C26BFCB0E SHA-1: 0x7C5329229042535FE56E74F1F246C6DA8CEA3BE8	(not available)
5	%FontsDir%\e452c71ecd05de415019165b3142ffc6.dat %System%\Aoucnzrvo.exe [file and pathname of the sample #1]	771,158 bytes	MD5: 0x43C50D3D73E385288DBD8B75DBB86307 SHA-1: 0xD0568F7CFECDFDF8A6797EF2C36702493B1482F4	BackDoor-DRV.gen.c [McAfee]
6	%System%\Aoucnzrvo.dll	2,638,848 bytes	MD5: 0x3C93BDC268EFF119C3A3930F77030748 SHA-1: 0x1390435DD3BDDF6E35CCE020857160DAF6C72693	Troj/DwnLdr-HRL [Sophos]

• The following Registry Keys were created:
  • HKEY_LOCAL_MACHINE\SOFTWARE\rising
  • HKEY_LOCAL_MACHINE\SOFTWARE\rising\KaKa
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs\Security
  • HKEY_CURRENT_USER\Software\FlySky
  • HKEY_CURRENT_USER\Software\FlySky\E
  • HKEY_CURRENT_USER\Software\FlySky\E\Install

• The newly created Registry Values are:
  • [HKEY_LOCAL_MACHINE\SOFTWARE\rising\KaKa]
    • procrun = 0x00000000
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs\Security]
    • Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs\Parameters]
    • Application = "%System%\Aoucnzrvo.exe -s"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kuivccccs]
    • Type = 0x00000110
    • Start = 0x00000002
    • ErrorControl = 0x00000001
    • ImagePath = "%ProgramFiles%\Kuivccccs\srvany.exe"
    • DisplayName = "Kuivccccs"
    • ObjectName = "LocalSystem"
  • [HKEY_CURRENT_USER\Software\FlySky\E\Install]
    • Path = "%Temp%\BClib\"

我想问下，创建的srvany.exe 是干什么用的？？

hooray1111

给他个沙盘 看他能干嘛?

hooray1111

我感觉D+就是把所有进程都告诉你 你自己去判断 实际中几乎不可能操作 不用

wptyh73hm

我感觉D+就是把所有进程都告诉你 你自己去判断 实际中几乎不可能操作 不用
hooray1111 发表于 2010-1-15 18:11

没真正用过就不要多说了

积累

囧。是不是楼主的防火墙规矩没设置好。如果拦截了联网，这木马应该半废了！？
COMODO的墙拦截了也被穿那么猛？