ㄚ一 2008-5-5 05:13
終於讓我找到一個過TF 3.5的樣本
這個是樣本區找來的樣本,我一開始使用TF測試
運行後TF沒有反映,沒幾秒的時間後系統CPU使用率標高
雖然還是出現了兩次警告,但系統文件還是遭到破壞
KIS 8.0的攔截情形:
運行之後試圖執行"自我安全教育-必看.exe"
[img]http://farm3.static.flickr.com/2076/2464813977_3f1a12fcb3_o.png[/img]
"自我安全教育-必看.exe"試圖運行6.exe
[img]http://farm4.static.flickr.com/3159/2464813969_d7c264a96b_o.png[/img]
再度創建了2.bat並試圖執行它
[img]http://farm4.static.flickr.com/3271/2464813981_c8b43cffb8_o.png[/img]
發現explorer.exe試圖修改受保護的註冊表
[img]http://farm3.static.flickr.com/2375/2464813985_3d9fab2dbe_o.png[/img]
執行console ime
[img]http://farm3.static.flickr.com/2169/2464813991_ce9b3fdcff_o.png[/img]
KIS 8.0自動攔截下來惡意行為
在windows下生成兩個檔案
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.dll Denied: KLSystemData/KLSystemFiles/SystemDll
TF的攔截情形
解壓縮還原之後要運行6.EXE
[img]http://farm3.static.flickr.com/2026/2464874675_e35ef44792_o.png[/img]
真正攔截到的只有這個B41346EFA848.DLL而已,少了很多KIS 8.0攔截到的行為
[img]http://farm3.static.flickr.com/2007/2464874679_8866c2819a_o.png[/img]
樣本雖然被隔離,TF並要求重新開機
進入關機階段時,螢幕忽然飄過了檔案遺失的視窗
重開機之後果然出了問題,系統再也無法進入桌面!
由於TF的系統開不了機了,我也無法查看LOG
所以實際上TF是漏了什麼?我還需要一點時間分析才能知道答案
ㄚ一 2008-5-5 18:19
我用的是默認規則
如果是自行添加的規則
可以防的住這個樣本
最有效的方式就是禁止生成autorun.inf
Roger 2008-5-6 23:32
回复 地板 的帖子
autorun.inf ?
看來,已經到 Explorer.exe 被控制的地步了!
ㄚ一 2008-5-8 00:34
回复 5樓 的帖子
KAV的報告中有明確提示explorer.exe被利用了!
wxxy 2008-5-14 11:43
ESS版本
[attach]253847[/attach]
扫描压缩文件
[attach]253848[/attach]
解压缩文件
[attach]253849[/attach]
fatelinegod 2008-6-1 00:35
TF默认规则下只是合用做辅助 9000占用换更好的覆盖面没什么不值得的
vicacheung 2008-6-20 20:30
传统杀软能对付的样本,用得着这样讨论么
yutian8888 2008-6-25 22:59
如果自定义规则呢
别忘了 TF可以自定义 微点就不行
自定义规则下基本达到100%
