为什么毛豆能发现，但不能真正阻止？

wozai609

运行的时候，我一直都是拒绝的，但还是被修改了主页，毛豆防不了修改主页的恶意软件吗？
IE也被干掉了

e4500

红伞报木马。我是不敢以身试毒了！坐＝高手来分析！

wozai609

回复 2# e4500


    虚拟机呢，沙盘呢。

e4500

回复 3# wozai609


    我没哪玩意。＝高手来了给你分析下！

wangxiaojun

你要让它运行干嘛？还有你的规则估计有问题。

不二鸣柯护

用的毛豆是哪个版本?
是3的话就有点强了.

wozai609

回复 5# wangxiaojun


    我故意运行的，看看是否防得住，规则我自己做的，看来很失败，准备导入论坛大大们的规则，正在找寻中。。。。。

lvmp

毛豆 4感觉反映迟钝，往往拦截了却不给出任何信息。
目前还是3比较成熟。

meiguo

这个程序我来看看，我可是专业的哦。

现场直播分析过程：

18：39————>

程序VB编写，未发现加壳。
启动后CALL按钮1事件，开始执行所谓的破坏。

18：41————>
检测程序名是否为Ctr.exe，不是的话......
看样子有自校验，比较文件本身的大小......
但是这个文件的自校验似乎被修改过来，逻辑相反。

18：46————>
发现如下字符：
[wybhoini]
user:username=feitianshen
webnav:sourceurl=http://www.360.cn/|desurl=http://www.2888.me/
webnav:sourceurl=http://bbs.360.cn/|desurl=http://www.2888.me/
webnav:sourceurl=http://zhidao.baidu.com/|desurl=http://www.2

18：50————>
发现：C:\windows\system32\wybho.dll
查壳：UPX
发现：
ipk.cn,92wg.com,592wg.com,xixiwg.com,cq521.com,wg999.org,wg86.com,73wg.com,t6t8.com,xu8.cn,wg999.com,onecf.cn,chengdudog.cn,fefeiwg.com,wgcity.com,uu2345.com,saohu.cn,9173wg.com,yuleshequ.com,027dj.com,cf33.cn,ncyfk.com,00175.com,230it.com,pqpump.cn,592la,ahqbt.com,xhwg8.com,31wg.cn,cflanyangyang.com,cfyswg.com,004wg.cn,cfgua8.cn,qqjia.com,qqjay.com,xp510.com,godtj.com,dnflx.com,yo2.cn,9158wg.cn,fbmxp.com,dnfafda.com,wg8.la,dnfbenchi.com,dnfkebi.com,dnftank.com,dnfft.com,dnfneiku.com,dnfsisi.net,dnfhuo.co
进行：Regsvr32.exe /s "C:\windows\system32\wybho.dll

19：04————>
OD调试太麻烦，直接上COMODO行为分析：

[size=+1]COMODO Internet Security 日志

		表	:	Defence+ 日志
		创建日期	:	2010-3-4 19:10:37
		日志范围	:	所有时间
		记录数目	:	16

日期/时间	程序	行为	目标[/td]
03/04/10 19:08:34	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\Administrator\Local Settings\Temp\~DF47AE.tmp
03/04/10 19:08:55	C:\test\Ctr.exe	修改文件	C:\test\Ctr.exe
03/04/10 19:09:15	C:\test\Ctr.exe	修改文件	C:\WINDOWS\system32\wybho.dll
03/04/10 19:09:21	C:\test\Ctr.exe	创建进程	C:\windows\System32\regsvr32.exe
03/04/10 19:09:25	C:\test\Ctr.exe	修改文件	C:\WINDOWS\system32\Thunder.dll
03/04/10 19:09:29	C:\test\Ctr.exe	创建进程	C:\windows\System32\regsvr32.exe
03/04/10 19:09:33	C:\test\Ctr.exe	修改文件	\Device\MountPointManager
03/04/10 19:09:35	C:\test\Ctr.exe	修改注册表键	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
03/04/10 19:09:38	C:\test\Ctr.exe	修改注册表键	HKUS\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu
03/04/10 19:09:42	C:\test\Ctr.exe	发送消息	C:\windows\Explorer.EXE
03/04/10 19:09:44	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\All Users\桌面\Internet Explorer.lnk
03/04/10 19:09:47	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
03/04/10 19:09:49	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\Administrator\桌面\Firefox.lnk
03/04/10 19:09:51	C:\test\Ctr.exe	修改文件	C:\Program Files\Internet Explorer\Ctr.exe
03/04/10 19:10:10	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\TM.lnk
03/04/10 19:10:14	C:\test\Ctr.exe	修改文件	C:\Documents and Settings\Administrator\Local Settings\Temp\123.txt

[size=+1]报告的结尾

moodykeke

发现不能阻止？比较罕见，你点允许了，是否这种权限最高？