说360不行，估计觉得委屈，现在看看这个活体远控木马怎么过360--36楼官人已经承认问题

vm001

今天选这一个360本身能拦截的456远控木马看下360是如何拦截的
我们进入钓鱼网址


下载这个假冒456


安装完看下，快捷方式，指向木马


看下木马目录


我们只安装MD验证下木马是否是活体
监控过程中，实机毒霸弹出远控拦截提示


好看来就是活体木马了
我们看下MD监控日志

2012-10-29 01:42:00    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\program files\common files\odbc\sgupdater.exe
命令行: "C:\Program Files\Common Files\ODBC\SGUpdater.exe"
规则: [应用程序]*

2012-10-29 01:42:02    访问网络    允许
进程: c:\program files\common files\odbc\sgupdater.exe
目标: TCP [本机 : 1406] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 01:42:18    底层键盘操作 (6)    允许
进程: c:\program files\common files\odbc\sgupdater.exe
规则: [应用程序]*

2012-10-29 01:43:06    访问网络    阻止
进程: c:\program files\common files\odbc\sgupdater.exe
目标: TCP [本机 : 1407] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 01:43:12    修改注册表值    阻止并结束进程
进程: c:\program files\common files\odbc\sgupdater.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
值: C:\PROGRA~1\COMMON~1\ODBC\SGUPDA~1.EXE
规则: [应用程序]* -> [COM接口]{75048700-EF1F-11D0-9888-006097DEACF9}

好，现在我们卸载MD，安装360卫士8.8



安装完毕后我们重启计算机，看托盘时间
重启后打开360卫士
开启全部防御和QVM



然后看，测试下扫描，360查杀


运行拦截


只给dll加壳试一下，还是拦截


这里恐怕360是用了文件路劲识别和文件名识别吧
为什么这样说，看下面
给exe改名，然后移动路径到桌面，期间不关闭任何360防御



然后再运行远控木马，一路通行，360无任何拦截
远控木马开始执行键盘记录，开始请求连接远程主机


这里也可能有人会说xuetr不准确，那么我们就用360自己流量防火墙看下


木马开始上传数据


和远控主机连接成功


再回头来看看这个木马，有意思，启动以后，显示路径还是原路径
但是木马真实的运行在内存中


成功运行着，而且加载了启动项


启动项路径是修改后的，可见，重启以后的结果，期间360防御全开，就这样很容易的被过掉了
想象如果是木马作者过360该比咱们这样更容易吧
好，卸载360，再安装MD---这里我怕找理由说相互冲突，所以全部是独立测试
我们就看下修改后的MD监控的木马动作



同样的动作，安装360的时候，360去哪里拦截了？

MD日志
2012-10-29 02:19:03    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\odbc\shougou.exe
命令行: "C:\Documents and Settings\Administrator\桌面\ODBC\shougou.exe"
规则: [应用程序]*

2012-10-29 02:19:06    访问网络    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: TCP [本机 : 1033] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 02:19:44    底层键盘操作 (2)    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
规则: [应用程序]*

2012-10-29 02:19:45    访问网络    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: TCP [本机 : 1034] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 02:19:50    底层键盘操作 (3)    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
规则: [应用程序]*

2012-10-29 02:19:55    访问网络    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: TCP [本机 : 1035] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 02:20:20    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
值: C:\DOCUME~1\ADMINI~1\桌面\ODBC\shougou.exe
规则: [应用程序]* -> [COM接口]{75048700-EF1F-11D0-9888-006097DEACF9}

2012-10-29 02:20:22    访问网络    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: TCP [本机 : 1036] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-10-29 02:20:36    访问网络    允许
进程: c:\documents and settings\administrator\桌面\odbc\shougou.exe
目标: TCP [本机 : 1037] ->  [115.239.229.211 : 7269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

--------------------------------------------------------------

重启计算机后，被MD拦截启动

2012-10-29 02:22:40    创建新进程    阻止
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\odbc\shougou.exe
命令行: "C:\DOCUME~1\ADMINI~1\桌面\ODBC\shougou.exe"
规则: [应用程序]*

之前就说过360拦截远控不行，希望官方改正，可官方就是不敢正确面对
对360免杀说实话，不容易，咱这水平更是想都别想
但是就从测试看，360的防御叫什么防御？
木马作者想过你，还不把你过个一塌糊涂
---------------------------------------------------------------------

最后希望官方改进防御，不要那这种儿科似的忽悠了

奉上提取的样本，入库吧
后面下载的人说拦截的，只希望说句实话就行
如果下载就报毒后，运行还能拦截更好
这里只想想说360的防御存在缺陷，并不想贬低，因为起码没比Q强多了（可能会得罪点管粉，不会咱说的是实话）

修改后的样本，不要只看扫描，关键是执行拦截，因为过下载保护的方法更多


备份的修改前的文件

vm001

呵呵有人已经下载了，看来不止我是夜猫子
其实各位都可以开动你们的脑筋进行简单测试，会发现很多的“惊喜”

amazingzhang

楼主用的8,8？我这里8.7改了名字还是能拦截的

yl310

卡巴都没反应？

屋里头

坑啊，骗流量啊。你自己放过了，才能移动位置啊。你重新试试，直接移动改名看拦截不！

浮生如梦

yl310 发表于 2012-10-29 08:43
卡巴都没反应？

现在过卡巴的免杀太多了~~~感觉卡巴越来越不给力了

vm001

amazingzhang 发表于 2012-10-29 06:43
楼主用的8,8？我这里8.7改了名字还是能拦截的

看看你的测试时间，凌晨发样本以后就下载很多次了
现在要是还可以改名加壳过，那就该抽他了

Regeneration

它们面对过啥

a445441

微点MISS

szwjn

看的很清楚 楼主测试很详细