NIS开始杀白加黑了？

wjcharles

晚上样本区里的http://bbs.kafan.cn/thread-1271877-1-1.html
下载了完整的病毒包，内含白exe，白dll和黑dll，解压会出错以绕过360的下载保镖，因为网盘打不开直到0点才下载好
双击后出错，无法用calc外联，可能是x64系统的原因，但白exe进程还在



1点多的时候进行了自动的后台扫描，把黑dll文件报毒了，因为这个dll已被白exe加载，所以需要重启














注意威胁名称WS.Malware.1，官方说是一种基于云的检测（cloud based detection）
以往铁壳对这种白加黑要一个月甚至更长时间才入库，这次利用云使反应时间大大缩短，但不知道起作用的是已有的云端检测机制，这次的白加黑正好撞上；还是针对此类白加黑开发的云检测机制

但是对于白加黑系列样本，这种有点类似国内两朵云的反馈-查杀机制并不是很有效，因为这种木马只要小范围感染，在反馈的这段时间里木马早就可以盈利了，而且NIS的响应时间也比国内的慢了很多，因此如果要达到比较好的防御效果，最好还是用主防杀，比如在双击调时用dll的信誉信息之类

不过在国外杀软中，这也算是拿出了一个可以解决白加黑的初步方案，看看铁壳是不是还会改进




完整路径: c:\users\sshss\downloads\32.5\etcomm.dll
威胁: WS.Malware.1
____________________________
____________________________
在电脑上的创建时间 2012/4/21 ( 0:04:08 )
上次使用时间 2012/4/21 ( 1:13:23 )
启动项目 否
已启动 否
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
受感染文件: c:\Users\ssHss\downloads\32.5\ETComm.dll
需要重新启动
____________________________
文件指纹 - SHA:
dc3a86d59fe69a9b813ec7f556aba3bbfcb67b550b208745fd2eceb938d78c64
____________________________
文件指纹 - MD5:
d61145fe10528a7bb16c28d5702fffa4
____________________________

欧阳宣

看威胁说明是有进步哦~

ywsuda

这是好事啊

喜欢重武器

不是吧。。。表诱惑我哦。。。

尘梦幽然

这个是云启发式检测。

wjcharles

5234377 发表于 2012-4-21 12:37
这个是云启发式检测。

运行时不杀，自动扫描的时候检测到加载了信誉不良的dll才杀。。。其实没多大作用

尘梦幽然

wjcharles 发表于 2012-4-21 12:45
运行时不杀，自动扫描的时候检测到加载了信誉不良的dll才杀。。。其实没多大作用

诺顿的云启发不是实时的。。。就像为什么有的时候自动防护解压了东西后N分钟诺顿才杀。这需要有一个响应过程。

s0s020000

什么时候趋势能杀

我已经上报爱趋势社区了
毒区有个人完了会联系趋势分析师

wjcharles

s0s020000 发表于 2012-4-21 14:12
什么时候趋势能杀

我已经上报爱趋势社区了

关键这类样本传播范围很小，或者说很小的传播范围就能获利，与通过botnet或重定向流量之类传统的盈利方式不同，导致国外厂商很容易忽视

s0s020000

wjcharles 发表于 2012-4-21 14:25
关键这类样本传播范围很小，或者说很小的传播范围就能获利，与通过botnet或重定向流量之类传统的盈利方式 ...

趋势重心在企业版上，个人版……悲剧了，我还是坚持用吧，折腾没意思，防毒能力也不在白加黑上，我用淘宝不会二到传过来的东西随便打开的……