卡饭茶舍 | 软件下载专区 | HIPS专区 | 防火墙专区 | 病毒样本区 | 国内杀软专区 | 国外杀软专区 | 卡饭计算机安全软件下载中心
免费的安全盛宴 | 关于安全软件的12个谣言和误会~ 卡巴官方最新正式版 | 官方最新测试版帮助他人,快乐自己 | 助人者,人助之91款国外杀毒软件官方介绍 附优秀文章
论坛常见问题解答 | 相逢在论坛从杀毒软件到文化 | 我们为什么要装防火墙hips新手入门 | 卡饭HIPS教程集合病毒样本区 | 费尔区
‹‹ 上一主题 | 下一主题 ››
 17 12
发新话题
打印

[行为分析] 非常厉害的后门,自称国产精品

chenrui19930

卡饭_知名人士

Rank: 2

帖子
816 
积分
1006 
技术值
0  
魅力值
0  
人气值
0  
防御装备
微点(预升级) 
注册时间
2007-2-3 
1楼 发表于 2008-7-17 14:57  只看该作者

非常厉害的后门,自称国产精品

Tags: 后门 新装 HIPS 高手 帮忙

新装的机,没有HIPS不敢测试,请高手帮个忙

[ 本帖最后由 chenrui19930 于 2008-7-17 15:09 编辑 ]
附件: 您所在的用户组无法下载或查看附件

TOP

ALEXBLAIR

A love a & a love A

卡饭_版主

Rank: 7Rank: 7Rank: 7

潜水≠冷漠

帖子
8244 
积分
11671 
技术值
4  
魅力值
12  
人气值
5  
防御装备
K+G+S+J 
来自
就是不告诉你 v(=.=)v 
注册时间
2006-8-30 

一级技术勋章 蜜蜂勋章 KaFan Hunters:冷静 独立 交流 卡饭病毒测试小组:严谨 冷静 执着 责任

2楼 发表于 2008-7-17 16:27  只看该作者


RD:  

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run]
"NetWindow"="x:\\DESKTOP\\netwindows\\netwindows\\Server.exe"

[HKEY_LOCAL_MACHINE\software\NetWindow]
"Parameter"="121"
"Password"="77878978977"

[HKEY_LOCAL_MACHINE\​System\​CurrentControlSet\​Services\​WinSock2\​Parameters\​NameSpace_Catalog5 ]

[HKEY_LOCAL_MACHINE\​System\​CurrentControlSet\​Services\​WinSock2\​Parameters\​Protocol_Catalog9 ]


FD
\Device\Afd\AsyncSelectHlp


File                                                    Control Code
==============================================
\Device\Afd\Endpoint              AFD_SET_INFO (0x0001203B)
\Device\Afd\AsyncSelectHlp    AFD_SELECT (0x00012024)
\Device\Afd\Endpoint              AFD_GET_TDI_HANDLES (0x00012037)
\Device\Afd\Endpoint              AFD_SET_CONTEXT (0x00012047)
\Device\Afd\Endpoint              AFD_BIND (0x00012003)
\Device\Afd\Endpoint              AFD_GET_SOCK_NAME (0x0001202F)  
\Device\Afd\Endpoint              AFD_SEND_DATAGRAM (0x00012023)
\Device\Afd\Endpoint              AFD_RECV_DATAGRAM (0x0001201B)  


C:\WINDOWS\system32\Msimtf.dll (Mem Map)


ND:
open port: TCP 5050


需要客户端的程序才能看出这东西有多厉害。

[ 本帖最后由 ALEXBLAIR 于 2008-7-18 01:14 编辑 ]




点击就会有很囧的东西出现- \( ̄▽ ̄)/->http://hi.baidu.com/alexblair/

TOP

深红的雪

卡饭_帮帮团

Rank: 7Rank: 7Rank: 7

帖子
2965 
积分
8673 
技术值
7  
魅力值
30  
人气值
31  
防御装备
spell card 
来自
幻想乡 
注册时间
2006-11-10 

一级技术勋章 杰出卡饭勋章 卡饭帮帮团成员:予人玫瑰,手留余香 KaFan Hunters:冷静 独立 交流 卡饭病毒测试小组:严谨 冷静 执着 责任

3楼 发表于 2008-7-17 17:42  只看该作者
远控软件
至少它有界面操作,而且可以退出,玩玩无妨

TOP

syfwxmh

无限梦幻评测室主管

卡饭_病毒测试组

Rank: 7Rank: 7Rank: 7

IDS CEO And KL HIPS Tester

帖子
5335 
积分
8561 
技术值
3  
魅力值
7  
人气值
69  
防御装备
KIS 2009 CF1 
来自
中国-北京 
注册时间
2007-7-29 

卡饭病毒测试小组:严谨 冷静 执着 责任

4楼 发表于 2008-7-17 17:46  只看该作者
kaspersky 2009 拦截成功
截图(自动模式+默认设置)

请去HIPS区

[ 本帖最后由 syfwxmh 于 2008-7-17 17:55 编辑 ]


无限梦幻评测室总管 KL HIPS Tester
IT168安全区撰稿人 绅博VIP  Brother Soft Web
误报: 请用False alarm作标题
钓鱼网页:请用Phishing Web Site作标题
手机病毒:请用Mobile virus作标题
地址:newvirus@kaspersky.com 请用infected作加密的密码

TOP

syfwxmh

无限梦幻评测室主管

卡饭_病毒测试组

Rank: 7Rank: 7Rank: 7

IDS CEO And KL HIPS Tester

帖子
5335 
积分
8561 
技术值
3  
魅力值
7  
人气值
69  
防御装备
KIS 2009 CF1 
来自
中国-北京 
注册时间
2007-7-29 

卡饭病毒测试小组:严谨 冷静 执着 责任

5楼 发表于 2008-7-17 17:54  只看该作者
kaspersky 2009测试数据请看HIPS区


无限梦幻评测室总管 KL HIPS Tester
IT168安全区撰稿人 绅博VIP  Brother Soft Web
误报: 请用False alarm作标题
钓鱼网页:请用Phishing Web Site作标题
手机病毒:请用Mobile virus作标题
地址:newvirus@kaspersky.com 请用infected作加密的密码

TOP

九尾野狐

妖眼狐媚

卡饭_帮帮团

Rank: 7Rank: 7Rank: 7

No.1妖媚狐狸精

帖子
4327 
积分
6423 
技术值
0  
魅力值
10  
人气值
48  
防御装备
牙刷 
来自
香格里拉 
注册时间
2006-8-27 

卡饭帮帮团成员:予人玫瑰,手留余香 卡饭名人堂

6楼 发表于 2008-7-17 19:55  只看该作者
下载

晚上玩玩



沁妍病毒行为分析室

我的网盘

TOP

yjwfdc

飘逸

HIPS区优秀卡饭

Rank: 6Rank: 6

帖子
1493 
积分
2089 
技术值
0  
魅力值
5  
人气值
10  
防御装备
还原eq红伞 
注册时间
2007-12-16 
7楼 发表于 2008-7-17 19:58  只看该作者
2008-07-17 19:27:33    创建注册表值      操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*


2008-07-17 19:27:38    创建注册表值      操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:Parameter
触发规则:应用程序规则->----低------>d:\2\*


2008-07-17 19:27:40    创建注册表值      操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\NetWindow
注册表名称:Password
触发规则:应用程序规则->----低------>d:\2\*


2008-07-17 19:27:44    删除注册表      操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:NetWindow
触发规则:应用程序规则->----低------>d:\2\*


2008-07-17 19:27:49    删除注册表      操作:允许
进程路径:D:\2\netwindows\netwindows\Server.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:NetWindow
触发规则:应用程序规则->----低------>d:\2\*

没有动作,不知道厉害在那些地方。


两层防御加一把利刀

解决问题不一定要什么技术性,只要有效就行了。

解决不了问题,有技术性也是无用。

我喜欢用最简单,最无技术性的方法解决问题。

TOP

kushuye

卡饭_见习会员

Rank: 1

帖子
38 
积分
38 
技术值
0  
魅力值
0  
人气值
0  
防御装备
KIS7+360 
注册时间
2008-6-15 
8楼 发表于 2008-7-19 08:47  只看该作者
不懂。。。在沙盘下测试有危险吗???

TOP

wu5920

卡饭_见习会员

Rank: 1

帖子
63 
积分
43 
技术值
0  
魅力值
0  
人气值
0  
防御装备
 
注册时间
2007-2-11 
9楼 发表于 2008-8-17 15:29  只看该作者
这个还是一般的.... 检测出来了...

TOP

kml2008

失败中。。。

卡饭_小有名气

Rank: 2

帖子
341 
积分
355 
技术值
0  
魅力值
0  
人气值
0  
防御装备
Windows自带工具 
来自
广东省 
注册时间
2008-8-17 
10楼 发表于 2008-8-20 13:16  只看该作者
晕,我在sandboxie下测试退出时居然不没有删除相关改动,不知道是不是我操作问题。

TOP

‹‹ 上一主题 | 下一主题 ››
 17 12
发新话题
卡饭论坛