|
|
1. 目前火绒的系统加固和恶意行为监控,如果操作进程是一个bat,火绒可以识别到这个bat而不是cmd.exe;但是,如果操作进程是一个chm,火绒只能识别到hh.exe而不是那个chm,如下图所示:
- 系统防护,系统加固,control.bat触犯敏感动作防护规则, 已阻止
- 防护项目:通过WMIC结束进程
- 执行文件:C:\Windows\System32\wbem\WMIC.exe
- 执行命令行:wmic process where name="360taskmgr.exe" call terminate
- 操作结果:已阻止
- 进程ID:3964
- 操作进程:C:\Windows\Fonts\control.bat
- 操作进程命令行:C:\Windows\SYSTEM32\cmd.exe /c "C:\Windows\Fonts\control.bat"
- FileVersion: 10.0.19041.1 (WinBuild.160101.0800)
- Description: Microsoft® HTML Help Executable
- Product: HTML Help
- Company: Microsoft Corporation
- OriginalFileName: HH.exe
- CommandLine: "C:\Windows\hh.exe" C:\Users\bonel\Desktop\python395.chm
- ParentImage: C:\Windows\explorer.exe
- ParentCommandLine: C:\Windows\Explorer.EXE
- Image: C:\Windows\hh.exe
- FileVersion: 10.0.19041.1 (WinBuild.160101.0800)
- Description: Microsoft® HTML Help
- Executable Product: HTML Help
- Company: Microsoft Corporation
- OriginalFileName: HH.exe
- CommandLine: hh python395.chm
- ParentImage: C:\Windows\System32\cmd.exe
- ParentCommandLine: "C:\Windows\System32\cmd.exe"
2. 银狐家族和蔓灵花家族经常使用带恶意ActiveX控件的js放进html再放进chm的方式,下载其他恶意文件并添加各类自启动项,建议主防多步恶意行为监控对hh.exe触发 启动目录(拓展防护)、命令行添加计划任务、计划任务目录、用户环境默认路径、注册表启动项 的恶意chm直接进行查杀处理(Trojan/MalCHM.a),正常的chm不会这么干
|
评分
-
查看全部评分
|
收藏