http://bbs.kafan.cn/viewthread.php?tid=174385

卡飯樣本區的病毒，會關閉 防毒軟體！

微點、瑞星 的 主動防禦 被過了！

大家測看看

以下用EQ測試病毒

依照病毒行為，分別作個block區分組別！

引用:

2007-12-21 20:55:43    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Setup.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2007-12-21 20:55:49    刪除登錄檔      操作:封鎖
程序路徑:D:\Setup.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


2007-12-21 20:55:55    執行應用程序      操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

引用:

2007-12-21 20:56:00    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe


2007-12-21 20:56:03    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->全域設定_普通模式->*


2007-12-21 20:56:05    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll


2007-12-21 20:56:09    執行應用程序      操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*


2007-12-21 20:56:12    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

引用:

2007-12-21 20:56:14    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->*


2007-12-21 20:56:18    刪除登錄檔      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


2007-12-21 20:56:31    執行應用程序      操作:封鎖
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*


2007-12-21 20:56:35    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*

引用:

2007-12-21 20:56:43    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-21 20:56:55    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2007-12-21 20:56:58    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

引用:

2007-12-21 20:57:09    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*


2007-12-21 20:57:18    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->*


2007-12-21 20:57:31    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*


2007-12-21 20:57:47    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:c:\program files\winrar\rar.exe
指令列:X "D:\Memory\Gibli\地海戰記\Tales_from_Earthsea.rar" "C:\WINDOWS\system32\com\bak\Tales_from_Earthsea.rar\" -r -inul -ibck -y
觸發規則:所有程序規則->*

命令rar.exe作壞事情

引用:

2007-12-21 20:58:34    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\Memory\國立清華大學096學年度上學期註冊費收據.htm
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->*.htm

開始感染*.htm

引用:

2007-12-21 20:58:40    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*


2007-12-21 20:58:54    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\~^|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2007-12-21 20:58:59    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\~|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->*


2007-12-21 20:59:05    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

開始感染*.exe

2007-12-21 20:59:10    結束/建立程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
目標程序:C:\WINDOWS\system32\cmd.exe
觸發規則:所有程序規則->*

2007-12-21 20:59:56    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

上面這塊block，一直重複執行

Avira
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:  www.avpclub.ddns.info/discuz/attachment.php?aid=3702
Information:  Is the Trojan horse TR/Agent.45056.I

McAfee miss

KAV被過
我按照EQ的LOG監控了cacls.exe以及regsvr32.exe還有cmd.exe
但一點提示都沒有,所以我想它似乎是關閉了系統的某些服務
因為不是是針對性的,我想應該有些行為是EQ沒有探測到的
我看EQ的LOG不明白他到底是用什麼方法結束了avp.exe這個進程

借用一下別人的圖



答案是 直接關閉

hwwgo說，

大概會關閉下列的程序

引用:

dr.web
avg
木
360safe
360safe
360anti
金山
木
antivir
费尔
微点
kvxp
诊
具
sreng 介绍
@@升级
ewido
escan
mcagent
瑞
防
升
bitdefender
facelesswndproc
##vso##
avast

FIS 2008在檔案解壓後直接刪除SETUP.EXE...真的如ㄚ一所說"漸臻入神坐照之境"...

[ 本帖最後由 olba78 於 2007-12-22 11:14 編輯 ]

是要執行才算啦

Avira Antivir
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL:         www.avpclub.ddns.info/discuz/attachment.php?aid=3702
Information:         Is the Trojan horse TR/Agent.45056.I
是報殼嗎!?

話說費爾也很好玩,它確實可以偵測到,不過執行下去,卻是動態防禦警告了 .

顯示的危險程度是'低",級別評分:26.8880 .

不過費爾的動態防禦沒寫操作對象,還不是很完美 .

不是報殼



這樣本結束進程的能力很強
把很多主流AV都結束掉的
我決定把這個樣本留下來，可以測試AV的自我防護能力

nod32: a variant of Win32/Xorer virus

真是越來越狠了!!
直接把ANTIVIRUS close掉!!

是看看哪種HIPS能防禦!!!
一定要執行後放行才能測嗎?下載時卡巴都說是個壞軟體了 @@

不是測防毒！

而且，如果防毒掃不到，還不能有別的方式擋住，就完了！

所以說要測HIPS時   如果防毒軟體偵測到問要不要放行   放行才能測HIPS嗎?

謝謝!!!

話說     剛剛測試了一下    小紅傘它關不掉    所以小紅傘還是蠻憂的  

不過我比較怕死    測試系統是Virtual PC 2007+影子系統2.8+Sandboxie 3.21+Comodo FW v3.0.14.276+Spyware Terminator
該放行都放了   小紅傘沒被關掉
發現一個事實Spyware Terminator真的沒發揮多大功用   吃記憶體和資源也很兇   也許是Comodo FW V3太強了都先攔掉了
所以決定把Spyware Terminator移除掉   用Comodo Firewall Pro v3.0.14.276就好了   全部都攔的到   太讚了  

引用:

原帖由 charles1394 於 2007-12-26 18:11 發表
話說     剛剛測試了一下    小紅傘它關不掉    所以小紅傘還是蠻憂的  

不過我比較怕死    測試系統是Virtual PC 2007+影子系統2.8+Sandboxie 3.21+Comodo FW v3.0.14.276+Spyware Terminator
該放行都 ...

這個樣本應該沒有直接操作紅傘...

關閉費爾的木馬病毒防護之後做的測試：
1.執行後會先告知

2.繼續執行的狀況



3.最後關頭

4.總結：
費爾並沒有被關閉！