卡饭论坛's Archiver



baerzake 发表于 2008-7-26 06:17

又见恶作剧

[url=http://bbs.kafan.cn/redirect.php?tid=292489&goto=lastpost#lastpost]http://bbs.kafan.cn/redirect.php?tid=292489&goto=lastpost#lastpost[/url]

COMODO除了锁定鼠标没有办法拦截,其他都可以拦截,包括更改图标和禁用任务管理器

[img]http://bbs.kafan.cn/images/default3/attachimg.gif[/img] [img]http://bbs.kafan.cn/attachments/month_0807/20080726_28a61cb28ed3426c235aOroah1D7dNmg.jpg[/img]
[img]http://bbs.kafan.cn/images/attachicons/image.gif[/img] [url=http://bbs.kafan.cn/attachment.php?aid=317539&k=34ef3ab3c867efc07037f282c5de6957&t=1217024202¬humb=yes][b]Snap1.jpg[/b][/url] (52.84 KB)
2008-7-26 05:57


病毒名称:未知

病毒大小:未知

病毒类型:恶作剧样本

传播方式:任意

测试平台:XPSP2

测试工具:COMODOV3

危害程度:低

行为分析:

Date/Time Application Action Target
2008-7-26 5:30:25 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons
2008-7-26 5:30:29 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify Key HKUS\S-1-5-21-436374069-113007714-1202660629-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\DefaultIcon
2008-7-26 5:30:38 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify Key HKLM\SOFTWARE\Classes\ocxfile\DefaultIcon
2008-7-26 5:30:41 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify Key HKLM\SOFTWARE\Classes\dllgfile\DefaultIcon
2008-7-26 5:30:50 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify File \Device\Tcp
2008-7-26 5:32:04 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Access Memory C:\WINDOWS\system32\taskmgr.exe
2008-7-26 5:37:45 C:\Documents and Settings\Administrator\桌面\test-21033\test-21033.exe Modify Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
End of The Report


的确只是个恶作剧,修改图标,禁用任务管理器,禁用显示所有文件,锁定鼠标,如此而已

防范对策和规则:加强RD防御,除了一般性关键键值防御外,需要添加对于图标相关键值的保护。
                            加强AD防御,禁止一般程序访问任务管理器内存。
                            锁定鼠标是没办法了,希望HIPS能加强这方面的防御。

[[i] 本帖最后由 baerzake 于 2008-7-26 06:28 编辑 [/i]]

Devy 发表于 2008-7-26 23:50

HIPS似乎都没考虑锁鼠标或鼠标乱动的,虽然是恶作剧,没什么大的危害,但是对用户正常使用电脑还是有相当大的影响,还是有必要加以防御。

另,象该样本这里注入TaskMgr.exe这种重复很多次的行为,在行为分析日志体现上是否简化一下比较好?

baerzake 发表于 2008-7-27 06:08

回复 2楼 Devy 的帖子

有理,已简化[:01:]

xes117 发表于 2008-8-11 22:43

看不懂

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.