非常厉害的后门,自称国产精品
新装的机,没有HIPS不敢测试,请高手帮个忙[:07:][[i] 本帖最后由 chenrui19930 于 2008-7-17 15:09 编辑 [/i]] [:15:]
RD:
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run]
"NetWindow"="x:\\DESKTOP\\netwindows\\netwindows\\Server.exe"
[HKEY_LOCAL_MACHINE\software\NetWindow]
"Parameter"="121"
"Password"="77878978977"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 ]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 ]
FD
\Device\Afd\AsyncSelectHlp
File Control Code
==============================================
\Device\Afd\Endpoint AFD_SET_INFO (0x0001203B)
\Device\Afd\AsyncSelectHlp AFD_SELECT (0x00012024)
\Device\Afd\Endpoint AFD_GET_TDI_HANDLES (0x00012037)
\Device\Afd\Endpoint AFD_SET_CONTEXT (0x00012047)
\Device\Afd\Endpoint AFD_BIND (0x00012003)
\Device\Afd\Endpoint AFD_GET_SOCK_NAME (0x0001202F)
\Device\Afd\Endpoint AFD_SEND_DATAGRAM (0x00012023)
\Device\Afd\Endpoint AFD_RECV_DATAGRAM (0x0001201B)
C:\WINDOWS\system32\Msimtf.dll (Mem Map)
ND:
open port: TCP 5050
需要客户端的程序才能看出这东西有多厉害。
[[i] 本帖最后由 ALEXBLAIR 于 2008-7-18 01:14 编辑 [/i]] 远控软件
至少它有界面操作,而且可以退出,玩玩无妨 kaspersky 2009 拦截成功
截图(自动模式+默认设置)
请去HIPS区
[[i] 本帖最后由 syfwxmh 于 2008-7-17 17:55 编辑 [/i]] kaspersky 2009测试数据请看HIPS区 下载
晚上玩玩 2008-07-17 19:27:33 创建注册表值 操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*
2008-07-17 19:27:38 创建注册表值 操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:Parameter
触发规则:应用程序规则->----低------>d:\2\*
2008-07-17 19:27:40 创建注册表值 操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:Password
触发规则:应用程序规则->----低------>d:\2\*
2008-07-17 19:27:44 删除注册表 操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:NetWindow
触发规则:应用程序规则->----低------>d:\2\*
2008-07-17 19:27:49 删除注册表 操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:NetWindow
触发规则:应用程序规则->----低------>d:\2\*
没有动作,不知道厉害在那些地方。 不懂。。。在沙盘下测试有危险吗??? 这个还是一般的.... 检测出来了... 晕,我在sandboxie下测试退出时居然不没有删除相关改动,不知道是不是我操作问题。 [quote]原帖由 [i]kml2008[/i] 于 2008-8-20 13:16 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4551461&ptid=287349][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
晕,我在sandboxie下测试退出时居然不没有删除相关改动,不知道是不是我操作问题。 [/quote]
能举例么?这个东西在sbie里无法完全执行的,因为刚启动就被限制了。 [quote]原帖由 [i]ALEXBLAIR[/i] 于 2008-8-20 16:29 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4553239&ptid=287349][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
能举例么?这个东西在sbie里无法完全执行的,因为刚启动就被限制了。 [/quote]
在沙盘运行,退出并删除保存的文件后,查看注册表。发现二楼出示的改动:
RD
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001 另外SBIE还有一些问题,我在沙盘安装了VPN代理软件Hotspot Shield,然后退出,删除保存文件时提示系统代码错误,沙盘中的程序我确定全部退出了。。什么回事??
[attach]340120[/attach] [attach]340119[/attach] [quote]原帖由 [i]kml2008[/i] 于 2008-8-21 08:01 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4558650&ptid=287349][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
在沙盘运行,退出并删除保存的文件后,查看注册表。发现二楼出示的改动:
RD
[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobal ... [/quote]
这个我测试的时候没有发现有这类问题。
这两个值很多软件都会影响到他们,你可以先改为0,然后再测试,看看是不是沙盒的问题。。。[:03:] 确实狗强的!!!! 又是鸽子么 开着geswall下载的,刚解压缩就被nav2009干掉了。我都没看到geswall的反应呢。
页:
[1]