王家卫系列之[东邪西毒]

xpn282

这几天上网找王家卫的东邪西毒...老是看到IE自己下载EXE..而且没次都看见下载的有CAQ0HMJL.exe..刚才又发现IE要下载EXE了..我已经打过补丁了 这个网站....http://www.9188888.com/dvd/4924.htm...难道是我的IE被胁持了


进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\Documents and Settings\XPN\Local Settings\Temporary Internet Files\Content.IE5\FHFXT196\cha[1].exe
规则:所有程序规则->禁止在C盘创建下列文件->c:\*.exe

2007-03-30 12:17:32    创建文件
操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\Documents and Settings\XPN\Local Settings\Temporary Internet Files\Content.IE5\FHFXT196\CAQ0HMJL.exe
规则:所有程序规则->禁止在C盘创建下列文件->c:\*.exe

[ 本帖最后由 xpn282 于 2007-4-13 10:33 编辑 ]

小邪邪

mcafee的保护发现了异常情况:

2007-3-30        12:43:00        已由访问保护规则禁止        C:\WINDOWS\system32\cmd.exe       
D:\Temporary Internet Files\Content.IE5\QDKZSNEB\cha[1].exe       
防间谍程序最大保护:禁止从 Temp 文件夹执行脚本       
已阻止的操作: 读取

The EQs

谁给个样本？？？

小邪邪

也就是说试图利用cmd.exe来执行这个IE缓存里的cha[1].exe
但是我都已经打足了补丁，怎么还来搞这个小动作呢?

而且在IE临时文件夹里也根本没有找到这个cha[1].exe，显然是已被阻挡
（看来是刚才搜索的时候没有失误了，没有算上隐藏的系统文件，呵呵，）

[ 本帖最后由 小邪邪 于 2007-3-30 12:57 编辑 ]

xpn282

原帖由 小邪邪 于 2007-3-30 12:38 发表
mcafee的保护发现了异常情况:

2007-3-30        12:43:00        已由访问保护规则禁止        C:\WINDOWS\system32\cmd.exe        
D:\Temporary Internet Files\Content.IE5\QDKZSNEB\cha[1].exe        
防间谍程序最大保护:禁止从 Temp 文 ...

你的IE也下载了EXE

我也发现了CMD的异常...你看
2007-03-30 12:17:32    运行应用程序
操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
规则:黑名单->禁止启用CMD命令->C:\WINDOWS\system32\cmd.exe

另外
2007-03-30 12:37:58    创建文件
操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\Documents and Settings\XPN\Local Settings\Temporary Internet Files\Content.IE5\WNELWH8T\baidu[1].dll
规则:所有程序规则->禁止在C盘创建下列文件->c:\*.dll

2007-03-30 12:37:58    创建文件
操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\Documents and Settings\XPN\Local Settings\Temporary Internet Files\Content.IE5\WNELWH8T\CA7E4RVD.dll
规则:所有程序规则->禁止在C盘创建下列文件->c:\*.dll

[ 本帖最后由 xpn282 于 2007-3-30 12:51 编辑 ]

小邪邪

这次留下样本，有兴趣的研究下（AVK报杀）

[ 本帖最后由 小邪邪 于 2007-3-30 12:47 编辑 ]

xpn282

原帖由 小邪邪 于 2007-3-30 12:44 发表
也就是说试图利用cmd.exe来执行这个IE缓存里的cha[1].exe
但是我都已经打足了补丁，怎么还来搞这个小动作呢?

而且在IE临时文件夹里也根本没有找到这个cha[1].exe，显然是已被阻挡

我也打了补丁啊!!!!!!照样有那么多异常!!!

2007-03-30 12:20:39    访问物理内存
操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE

The EQs

nod32 再次found nothing。。。。。上报去了

solcroft

原帖由 小邪邪 于 2007-3-30 14:16 发表
这次留下样本，有兴趣的研究下（AVK报杀）

自行复制+添加注册表启动项目，典型木马
你们用什么系统啊？我的IE6 + WinXP SP2 Home Edition去年六月到现在都没打过补丁，都没出事...

The EQs

你即使打完补丁。。。它也会想试图建立进程的。。。。被偶的OP给拦截了。。。还想调用cmd。。。