HIPS  玩一支會報的老毒 風險不大看看反應


看看攔截個點與最後程序管理

[ 本帖最後由 peter_yu 於 2007-10-13 11:46 編輯 ]

應該是Unhookers tests 的測試樣本，

請問樓主是從哪裡抓的呢

Norman sandbox 抓不到行為

引用:

server.exe : Not detected by Sandbox (Signature: W32/Bifrose.FIW)


[ DetectionInfo ]
   * Sandbox name: NO_MALWARE
   * Signature name: W32/Bifrose.FIW
   * Compressed: NO

[ General information ]
   * File length:        29053 bytes.
   * MD5 hash: 82c1009b3d33a116aa90b9367b2bc654.

SNS  的回答  

explorer.exe 已經被插入生成檔案  即使不生成檔案explorer還是被破壞  可以拒絕砍掉 explorer  這毒就失效了(SNS  explorer 是識別程序會給出原廠規則 HOOK 所以不攔)



SNS  程序管理可以看出 IE 被 CALL  SHOW 紅色 這是隱藏程序 一般進程看不見 刪除即可  (SNS 程序管理不同顏色代表不同的意義)


[ 本帖最後由 peter_yu 於 2007-10-13 12:52 編輯 ]

不過，EQ的FD沒有攔截他生成，

C:\Program Files\Bifrost\server.exe

很嚴重的FD之BUG！

我回報下！

引用:

原帖由 Roger 於 2007-10-13 12:53 發表
不過，EQ的FD沒有攔截他生成，

C:\Program Files\Bifrost\server.exe

很嚴重的FD之BUG！

我回報下！

看看你的規則   或許你的規則有誤 還是原廠有錯我不知道  EQ 沒用過


PS ：：： 這支是有用心的毒   故丟出測試  EQ 程序管理能看出隱藏程序嗎？

[ 本帖最後由 peter_yu 於 2007-10-13 13:01 編輯 ]

剛重測，是我的規則有問題

這隻會"Debug at system level"，

所以，能使SNS blind ，

導致SNS 無法監控Explorer.EXE 被修改進程內存！

需要回報給SNS嗎

現在能攔截的HIPS有

EQ , SSM , COMODO Firewall V3 , ProSecurity









請看上圖，阻止"Debug at system level"之後，Iexplore.exe不再是"隱藏進程"，

但非常佔CPU

[ 本帖最後由 Roger 於 2007-10-13 13:15 編輯 ]

引用:

原帖由 Roger 於 2007-10-13 13:13 發表
剛重測，是我的規則有問題

這隻會"Debug at system level"，

所以，能使SNS blind ，

導致SNS 無法監控Explorer.EXE 被修改進程內存！

需要回報給SNS嗎

現在能攔截的HIPS有

E ...

SNS不需要回報  FD 能攔到看出有問題就可以了  可以拒絕砍掉 explorer   攔太多太繁雜沒需要

剛允許"直接操作系統內核"之後，

在EQ的"程序管理員"，居然看不見"隱藏程序"！

已回報EQ官方，感謝提供病毒測試

引用:

原帖由 Roger 於 2007-10-13 19:16 發表
剛允許"直接操作系統內核"之後，

在EQ的"程序管理員"，居然看不見"隱藏程序"！

已回報EQ官方，感謝提供病毒測試

有人給我不少毒都走內核的高級品  以後有時間再慢慢玩

http://www.badongo.com/cn/file/3661018

之前的prueba.exe

走系統內核一定有其他的目的  系統內核沒攔到 別的地方欄也是可以   防護不一定需要面面俱到 防的到即可



2007/10/14 下午 08:11:05        !**************************************************
                        Safe'n'Sec alert
                        Action
                        Date and time: 2007/10/14 下午 08:11:00
                        Type: Editing a file/folder
                        Risk: Moderate
                       
                        Application
                        Process identifier: 4092
                        Parent process identifier: 3236
                        User identifier: XPSM1210\peter
                        File: C:\14\PRUEBA.EXE
                       
                        Object
                        File/folder:C:\DOCUMENTS AND SETTINGS\PETER\APPLICATION DATA\ADDON.DAT
                        User action:        Allow
                        ***************************************************

很明顯的EXPLORER被破壞  生成檔案 BLOCK 砍掉 EXPLORER  PRUEBA  程序即可  毒還是進不來
2007/10/14 下午 08:11:39        !**************************************************
                        Safe'n'Sec alert
                        Action
                        Date and time: 2007/10/14 下午 08:11:06
                        Type: Editing a file/folder
                        Risk: Moderate
                       
                        Application
                        Process identifier: 2604
                        Parent process identifier: 2512
                        User identifier: XPSM1210\peter
                        File: C:\WINDOWS\EXPLORER.EXE
                       
                        Object
                        File/folder:C:\PROGRAM FILES\CONFIG32\PRUEBA.EXE
                        User action:        Block
                        ***************************************************

這隻病毒 因該是 彩虹遠控吧@@

純屬猜測 (只是看ICO亂猜的....)

avast唔比我down

avast!!
惡意病毒名字：Win32:Bifrose-CIJ [Trj]
惡意軟體型別：特洛伊木馬
VPS版本：080505-0, 2008/05/05

卡巴拒絕了

卡巴下載後直接拒絕存取。

McAfee:
BackDoor-CEP.svr

File server.rar received on 02.16.2008 14:38:20 (CET)Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Agent.bcn.34
Authentium - - W32/Backdoor.ACFX
Avast - - Win32:Bifrose-PJ
AVG - - BackDoor.Generic_c.PZ
BitDefender - - Backdoor.Bifrost.IS
CAT-QuickHeal - - Trojan.Agent.bcn
ClamAV - - Trojan.Bifrose-693
DrWeb - - BackDoor.Bifrost.515
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - Trojan.Agent.bcn
F-Prot - - W32/Backdoor.ACFX
F-Secure - - Trojan.Win32.Agent.bcn
FileAdvisor - - -
Fortinet - - W32/Bifrose.ADR!tr.bdr
Ikarus - - Backdoor.Win32.Bifrose.aci
Kaspersky - - Trojan.Win32.Agent.bcn
McAfee - - BackDoor-CEP.svr
Microsoft - - Backdoor:Win32/Bifrose.ACI
NOD32v2 - - Win32/Bifrose.ADR
Norman - - -
Panda - - Bck/Bifrose.ANZ
Prevx1 - - Heuristic: Suspicious File With Covert Attributes
Rising - - Backdoor.Bifrose.hho
Sophos - - Mal/Bifrose-G
Sunbelt - - Backdoor.Bifrost.IS
Symantec - - Backdoor.Bifrose
TheHacker - - Backdoor/Bifrose.adr
VBA32 - - Backdoor.Win32.Bifrose.afj
VirusBuster - - Backdoor.Bifrose.AHY
Webwasher-Gateway - - Trojan.Agent.bcn.34

Additional information
MD5: 6849c471a9834c234dac877e25404b3f
SHA1: f8d9c1e1f0e341d40ee74cd753c8b5f1a851998a
SHA256: f40958f0cc64b2bd31cd487c40132ddc21beff782b4bb9ad5c4f5e48f2d1b90b
SHA512: 7749e9c2188de3b5e71f636a06cbb4400e9dc3d06a54549fb33efce93b1fdba157b7f9e8f240f1e72324c2370e2459113b9a0d5a44c1c360a041bfcf86c6d783

看起來大家的防駭軟體都很強＝ ＝+