查看完整版本: HIPS 玩一支會報的老毒 風險不大看看反應

HIPS 玩一支會報的老毒 風險不大看看反應

HIPS  玩一支會報的老毒 風險不大看看反應


看看攔截個點與最後程序管理

[[i] 本帖最後由 peter_yu 於 2007-10-13 11:46 編輯 [/i]]

應該是Unhookers tests 的測試樣本，

請問樓主是從哪裡抓的呢:quuu:

[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq2.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq3.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq4.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq5.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq6.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/eq7.png[/img]

Norman sandbox 抓不到行為:L

[quote]server.exe : Not detected by Sandbox (Signature: W32/Bifrose.FIW)


[ DetectionInfo ]
   * Sandbox name: NO_MALWARE
   * Signature name: W32/Bifrose.FIW
   * Compressed: NO

[ General information ]
   * File length:        29053 bytes.
   * MD5 hash: 82c1009b3d33a116aa90b9367b2bc654.[/quote]

SNS  的回答  

explorer.exe 已經被插入生成檔案  即使不生成檔案explorer還是被破壞  可以拒絕砍掉 explorer  這毒就失效了(SNS  explorer 是識別程序會給出原廠規則 HOOK 所以不攔)

[IMG]http://i171.photobucket.com/albums/u287/peter_yu/101.jpg[/IMG]

SNS  程序管理可以看出 IE 被 CALL  SHOW 紅色 這是隱藏程序 一般進程看不見 刪除即可  (SNS 程序管理不同顏色代表不同的意義)
[IMG]http://i171.photobucket.com/albums/u287/peter_yu/102.jpg[/IMG]

[[i] 本帖最後由 peter_yu 於 2007-10-13 12:52 編輯 [/i]]

不過，EQ的FD沒有攔截他生成，

C:\Program Files\Bifrost\server.exe

很嚴重的FD之BUG！

我回報下！

[quote]原帖由 [i]Roger[/i] 於 2007-10-13 12:53 發表 [url=http://221.169.193.115/discuz/redirect.php?goto=findpost&pid=48760&ptid=5793][img]http://221.169.193.115/discuz/images/common/back.gif[/img][/url]
不過，EQ的FD沒有攔截他生成，

C:\Program Files\Bifrost\server.exe

很嚴重的FD之BUG！

我回報下！ [/quote]

看看你的規則   或許你的規則有誤 還是原廠有錯我不知道  EQ 沒用過


PS ：：： 這支是有用心的毒   故丟出測試  EQ 程序管理能看出隱藏程序嗎？

[[i] 本帖最後由 peter_yu 於 2007-10-13 13:01 編輯 [/i]]

回復 #6 peter_yu 的帖子

剛重測，是我的規則有問題:fdqyt:

這隻會"Debug at system level"，

所以，能使SNS blind ，

導致SNS 無法監控Explorer.EXE 被修改進程內存！

需要回報給SNS嗎:quuu:

現在能攔截的HIPS有

EQ , SSM , COMODO Firewall V3 , ProSecurity

[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ1-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ2-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ3-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ4-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ5-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ6-1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/gl/EQ7-1.png[/img]

請看上圖，阻止"Debug at system level"之後，Iexplore.exe不再是"隱藏進程"，

但非常佔CPU

[[i] 本帖最後由 Roger 於 2007-10-13 13:15 編輯 [/i]]

[quote]原帖由 [i]Roger[/i] 於 2007-10-13 13:13 發表 [url=http://221.169.193.115/discuz/redirect.php?goto=findpost&pid=48768&ptid=5793][img]http://221.169.193.115/discuz/images/common/back.gif[/img][/url]
剛重測，是我的規則有問題:fdqyt:

這隻會"Debug at system level"，

所以，能使SNS blind ，

導致SNS 無法監控Explorer.EXE 被修改進程內存！

需要回報給SNS嗎:quuu:

現在能攔截的HIPS有

E ... [/quote]

SNS不需要回報  FD 能攔到看出有問題就可以了  可以拒絕砍掉 explorer   攔太多太繁雜沒需要

回復 #8 peter_yu 的帖子

剛允許"直接操作系統內核"之後，

在EQ的"程序管理員"，居然看不見"隱藏程序"！

已回報EQ官方，感謝提供病毒測試:)

[quote]原帖由 [i]Roger[/i] 於 2007-10-13 19:16 發表 [url=http://221.169.193.115/discuz/redirect.php?goto=findpost&pid=48836&ptid=5793][img]http://221.169.193.115/discuz/images/common/back.gif[/img][/url]
剛允許"直接操作系統內核"之後，

在EQ的"程序管理員"，居然看不見"隱藏程序"！

已回報EQ官方，感謝提供病毒測試:) [/quote]


有人給我不少毒都走內核的高級品  以後有時間再慢慢玩

[url=http://www.badongo.com/cn/file/3661018]http://www.badongo.com/cn/file/3661018[/url]

之前的prueba.exe

[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ1.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ2.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ3.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ4.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ5.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ6.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ7.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ8.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ9.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ10.png[/img]
[img]http://i234.photobucket.com/albums/ee153/a256886572008/go/EQ11.png[/img]

走系統內核一定有其他的目的  系統內核沒攔到 別的地方欄也是可以   防護不一定需要面面俱到 防的到即可



2007/10/14 下午 08:11:05        !**************************************************
                        Safe'n'Sec alert
                        Action
                        Date and time: 2007/10/14 下午 08:11:00
                        Type: Editing a file/folder
                        Risk: Moderate
                       
                        Application
                        Process identifier: 4092
                        Parent process identifier: 3236
                        User identifier: XPSM1210\peter
                        File: C:\14\PRUEBA.EXE
                       
                        Object
                        File/folder:C:\DOCUMENTS AND SETTINGS\PETER\APPLICATION DATA\ADDON.DAT
                        User action:        Allow
                        ***************************************************

很明顯的EXPLORER被破壞  生成檔案 BLOCK 砍掉 EXPLORER  PRUEBA  程序即可  毒還是進不來
2007/10/14 下午 08:11:39        !**************************************************
                        Safe'n'Sec alert
                        Action
                        Date and time: 2007/10/14 下午 08:11:06
                        Type: Editing a file/folder
                        Risk: Moderate
                       
                        Application
                        Process identifier: 2604
                        Parent process identifier: 2512
                        User identifier: XPSM1210\peter
                        [color=red]File: C:\WINDOWS\EXPLORER.EXE
                       
                        Object
                        File/folder:C:\PROGRAM FILES\CONFIG32\PRUEBA.EXE
                        User action:        Block[/color]
                        ***************************************************


[IMG]http://i171.photobucket.com/albums/u287/peter_yu/107.jpg[/IMG]

這隻病毒 因該是 彩虹遠控吧@@

純屬猜測 (只是看ICO亂猜的....)

avast唔比我down

avast!!
惡意病毒名字：Win32:Bifrose-CIJ [Trj]
惡意軟體型別：特洛伊木馬
VPS版本：080505-0, 2008/05/05

卡巴拒絕了:fdqyt:

卡巴下載後直接拒絕存取。

McAfee:
BackDoor-CEP.svr

File server.rar received on 02.16.2008 14:38:20 (CET)Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Agent.bcn.34
Authentium - - W32/Backdoor.ACFX
Avast - - Win32:Bifrose-PJ
AVG - - BackDoor.Generic_c.PZ
BitDefender - - Backdoor.Bifrost.IS
CAT-QuickHeal - - Trojan.Agent.bcn
ClamAV - - Trojan.Bifrose-693
DrWeb - - BackDoor.Bifrost.515
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - Trojan.Agent.bcn
F-Prot - - W32/Backdoor.ACFX
F-Secure - - Trojan.Win32.Agent.bcn
FileAdvisor - - -
Fortinet - - W32/Bifrose.ADR!tr.bdr
Ikarus - - Backdoor.Win32.Bifrose.aci
Kaspersky - - Trojan.Win32.Agent.bcn
McAfee - - BackDoor-CEP.svr
Microsoft - - Backdoor:Win32/Bifrose.ACI
NOD32v2 - - Win32/Bifrose.ADR
Norman - - -
Panda - - Bck/Bifrose.ANZ
Prevx1 - - Heuristic: Suspicious File With Covert Attributes
Rising - - Backdoor.Bifrose.hho
Sophos - - Mal/Bifrose-G
Sunbelt - - Backdoor.Bifrost.IS
Symantec - - Backdoor.Bifrose
TheHacker - - Backdoor/Bifrose.adr
VBA32 - - Backdoor.Win32.Bifrose.afj
VirusBuster - - Backdoor.Bifrose.AHY
Webwasher-Gateway - - Trojan.Agent.bcn.34

Additional information
MD5: 6849c471a9834c234dac877e25404b3f
SHA1: f8d9c1e1f0e341d40ee74cd753c8b5f1a851998a
SHA256: f40958f0cc64b2bd31cd487c40132ddc21beff782b4bb9ad5c4f5e48f2d1b90b
SHA512: 7749e9c2188de3b5e71f636a06cbb4400e9dc3d06a54549fb33efce93b1fdba157b7f9e8f240f1e72324c2370e2459113b9a0d5a44c1c360a041bfcf86c6d783

看起來大家的防駭軟體都很強＝ ＝+