收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 为什么毛豆能发现,但不能真正阻止?
12
返回列表 发新帖
楼主: wozai609
 收起左侧

[求助] 为什么毛豆能发现,但不能真正阻止?

[复制链接]
cjwczm
发表于 2010-3-4 18:50:58 | 显示全部楼层
学习中,静观变化和功能更新!
回复

举报

meiguo
发表于 2010-3-4 19:14:23 | 显示全部楼层
[size=+1]COMODO Internet Security 日志
: Defence+ 日志
创建日期: 2010-3-4 19:10:37
日志范围: 所有时间
记录数目: 16
日期/时间程序行为目标[/td]
03/04/10 19:08:34C:\test\Ctr.exe修改文件C:\Documents and Settings\Administrator\Local Settings\Temp\~DF47AE.tmp
03/04/10 19:08:55C:\test\Ctr.exe修改文件C:\test\Ctr.exe
03/04/10 19:09:15C:\test\Ctr.exe修改文件C:\WINDOWS\system32\wybho.dll
03/04/10 19:09:21C:\test\Ctr.exe创建进程C:\windows\System32\regsvr32.exe
03/04/10 19:09:25C:\test\Ctr.exe修改文件C:\WINDOWS\system32\Thunder.dll
03/04/10 19:09:29C:\test\Ctr.exe创建进程C:\windows\System32\regsvr32.exe
03/04/10 19:09:33C:\test\Ctr.exe修改文件\Device\MountPointManager
03/04/10 19:09:35C:\test\Ctr.exe修改注册表键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
03/04/10 19:09:38C:\test\Ctr.exe修改注册表键HKUS\S-1-5-21-515967899-839522115-1343024091-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu
03/04/10 19:09:42C:\test\Ctr.exe发送消息C:\windows\Explorer.EXE
03/04/10 19:09:44C:\test\Ctr.exe修改文件C:\Documents and Settings\All Users\桌面\Internet Explorer.lnk
03/04/10 19:09:47C:\test\Ctr.exe修改文件C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
03/04/10 19:09:49C:\test\Ctr.exe修改文件C:\Documents and Settings\Administrator\桌面\Firefox.lnk
03/04/10 19:09:51C:\test\Ctr.exe修改文件C:\Program Files\Internet Explorer\Ctr.exe
03/04/10 19:10:10C:\test\Ctr.exe修改文件C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\TM.lnk
03/04/10 19:10:14C:\test\Ctr.exe修改文件C:\Documents and Settings\Administrator\Local Settings\Temp\123.txt
[size=+1]报告的结尾
回复

举报

meiguo
发表于 2010-3-4 19:15:19 | 显示全部楼层
本帖最后由 meiguo 于 2010-3-4 19:20 编辑

从表面上看,它的花招就是:

1、wybho.dll
2、Thunder.dll
3、修改:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
4、改变接口: C:\windows\Explorer.EXE
5、修改:C:\Documents and Settings\All Users\桌面\Internet Explorer.lnk
6、修改:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
7、修改:C:\Documents and Settings\Administrator\桌面\Firefox.lnk
8、修改:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\TM.lnk


于是可以推测楼主拦截失败的原因是:

没有保护一些启动浏览器的位置,以及对LNK文件修改的防护。
回复

举报

wozai609
 楼主| 发表于 2010-3-4 19:28:21 | 显示全部楼层
回复 13# meiguo


    潜艇兄果然厉害,,终于冒泡了,莫非马甲?学习了。
回复

举报

mikewang
发表于 2010-3-4 19:50:24 | 显示全部楼层
肯定规则有问题,好好查查
回复

举报

mikewang
发表于 2010-3-4 19:51:36 | 显示全部楼层
肯定是规则问题了,好好检查检查自己的规则
V3很成熟了
回复

举报

青衫依旧
发表于 2010-3-4 20:01:00 | 显示全部楼层
我试试看我的规则防的住不[:27:]
回复

举报

george_lee
发表于 2010-3-4 21:28:18 | 显示全部楼层
用V4试了下,忘关AV了查出是TrojWare.W32.Trojan.BHO.~ME病毒,关了AV再运行,无提示,
看日志:在Sandbox中运行,阻止了部分行为(使用程序默认规则,配置:Proactive Security),
修改主页并未成功(IE 8),看来我用默认规则防住了该恶意程序。

回复

举报

ngngngng
发表于 2010-3-4 21:37:53 | 显示全部楼层
13楼 很强大  哦  赞~~~

有没有 把安装文件记录下来的软件啊?~
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 22:00 , Processed in 0.095451 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表