2008-05-05

終於讓我找到一個過TF 3.5的樣本

前幾天介紹過的ThreatFire 3.5剛剛我發現了一個它攔截不了的樣本
這個是樣本是從AVPClub樣本區找來的樣本

我一開始使用TF測試,運行後TF沒有反映
過沒幾秒的時間系統就出現CPU使用率標高的問題
雖然還是出現了兩次警告,但系統文件還是遭到破壞...


KIS 8.0的攔截情形:
運行之後試圖執行"自我安全教育-必看.exe"


"自我安全教育-必看.exe"試圖運行6.exe



再度創建了2.bat並試圖執行它


發現explorer.exe試圖修改受保護的註冊表


執行console ime


KIS 8.0自動攔截下來惡意行為
在windows下生成兩個檔案
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2003/5/4 W 04:32:32 Create C:\WINDOWS\help\B41346EFA848.dll Denied: KLSystemData/KLSystemFiles/SystemDll

TF的攔截情形

解壓縮還原之後要運行6.EXE


真正攔截到的只有這個B41346EFA848.DLL而已,少了很多KIS 8.0攔截到的行為


樣本雖然被隔離,TF並要求重新開機
進入關機階段時,螢幕忽然飄過了檔案遺失的視窗
重開機之後果然出了問題,系統再也無法進入桌面!

由於TF的系統開不了機了,我也無法查看LOG
所以實際上TF是漏了什麼?我還需要一點時間分析才能知道答案

1 則留言:

  1. 辛苦您了@@為了測試犧牲,我今天才意外逛到這個blog,看來有許多東西好逛^^

    回覆刪除