修改rundll32.exe和ctfmon.exe的?!

显示全部楼层 · 发表于 2010-12-10 08:37:24

难道此样本过eq+任何规则 ?!

显示全部楼层 · 发表于 2010-12-10 15:41:32

过规则还是过eq 这个要弄清楚

显示全部楼层 · 发表于 2010-12-10 16:03:49

回复 22楼 tingyue-wu 的帖子

我正等着人家用eq测试。。。
我觉得过eq...

显示全部楼层 · 发表于 2010-12-10 20:09:38

avast!
Win32:Malware-gen (0)

显示全部楼层 · 发表于 2010-12-10 20:12:42

回复 23楼 liulangzhecgr 的帖子

2010-12-10 15:42:30 创建文件    操作:阻止
进程路径:F:\病毒和测试\真的毒y\融合.EXE
文件路径:C:\windows\rundll.zeif
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%SystemRoot%\*

……（同上的省略）

2010-12-10 15:43:02 创建文件    操作:阻止并结束进程
进程路径:F:\病毒和测试\真的毒y\融合.EXE
文件路径:C:\windows\system32\dllcache\rundll32.exe
触发规则:所有程序规则->警戒级别★★★★★【系统盘】->%SystemRoot%\system32\dllcache\*.*

……（同上的省略）

2010-12-10 15:44:45 结束/挂起进程    操作:阻止
进程路径:F:\病毒和测试\真的毒y\融合.EXE
目标进程:C:\WINDOWS\System32\ctfmon.exe
触发规则:所有程序规则->警戒级别★★★☆☆【黑名单-面控制】->%SystemRoot%\system32\*

……（同上的省略）

2010-12-10 15:44:47 修改注册表内容    操作:阻止
进程路径:F:\病毒和测试\真的毒y\融合.EXE
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Default]
触发规则:所有程序规则->警戒级别★★★☆☆【文件关联、默认图标等控制】->HKEY_CLASSES_ROOT\.*\*

2010-12-10 15:44:47 关闭/重启系统    操作:阻止并结束进程
进程路径:F:\病毒和测试\真的毒y\融合.EXE

触发规则:应用程序规则->应用程序【面控制】->?:\*\*.*

2010-12-10 15:44:47 关闭/重启系统    操作:阻止并结束进程
进程路径:F:\病毒和测试\真的毒y\融合.EXE

……（同上的省略）

2010-12-10 15:44:50 修改注册表内容    操作:阻止
进程路径:F:\病毒和测试\真的毒y\融合.EXE
注册表路径:HKEY_CLASSES_ROOT\.zeif\PersistentHandler
注册表名称:[Default]
触发规则:所有程序规则->警戒级别★★★☆☆【文件关联、默认图标等控制】->HKEY_CLASSES_ROOT\.*\*

……（同上的省略）

我的规则确实被过了，exe文件关联被改。不过还是不确定是不是eq的问题。没有其它中毒现象。
这个病毒会不断运行自身，所以有很多相同的记录。不断循环，结束不了。最后删掉文件，才结束了进程。
不过没有出现注销画面，直接就把exe的关联给改了。但是我不清楚改的是哪儿？
查看HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command右边默认项的键值，仍然是 "%1" %*，没有被改，所以不知道改的是哪儿。知道的请告诉我。后来我是用LogAction.exe这款工具恢复的关联。

显示全部楼层 · 发表于 2010-12-10 20:28:30

本帖最后由 liulangzhecgr 于 2010-12-10 20:51 编辑

回复 25楼 tingyue-wu 的帖子

其实我用的是大小姐的高级询问规则，运行样本后阻止所有的！还是被过！
hddu坛友用自己编的规则阻止所有操作。。。也过！

文件关联可以看出两处修改（用xt）---主要是exe关联！（回想---与rundll.zeif连接）
用快照对比查看修改ctfmon.exe,rundll32.exe 创建c:\windows\rundll.zeif---这个我们用eq阻止，但没有起效！

我周末回家，无法贴出单位电脑上的---导出的日志（xt和md5比较情况）

--------------------
1。以能过三人的规则来看，好像是eq问题！----（个人感觉！）
2。打开windows自带任务管理器后运行样本。。。晕！好多个融合.exe

显示全部楼层 · 发表于 2010-12-10 20:51:05

在exefile上面会有一个exefi1e项建立，不知道有没有关系。

显示全部楼层 · 发表于 2010-12-10 21:03:04

xt文件关联上看时一个是红色显示！另一个颜色上没有异常！但与rundll.zeif连上...修复所有！

没有注意看l 和1...

显示全部楼层 · 发表于 2010-12-10 21:05:05

显示全部楼层 · 发表于 2010-12-10 21:26:17

回复 28楼 liulangzhecgr 的帖子

2010-12-10 21:13:36 创建注册表值操作:阻止
进程路径:F:\病毒和测试\真的毒6\融合.EXE
注册表路径:HKEY_CLASSES_ROOT\exefi1e\shell\runas\command
注册表名称:[Key]
触发规则:所有程序规则->警戒级别★★★☆☆【文件关联、默认图标等控制】->HKEY_CLASSES_ROOT\*\Shell\*\Command*

再一次试过了，如果这一条拦截，exe关联就不会被改。看来是xp注册表的问题，它不能区分exefi1e和exefile，导致关联出错。不知道这个说法是不是太武断。

[病毒样本] 修改rundll32.exe和ctfmon.exe的?!

本帖子中包含更多资源