这回可真要喷360卫士了

vm001

还是刚才那个木马
因为咱不是专业，汇编分析对于咱这知道那点来说难道太大...
这里只凭借经验和测试来看问题了

首先样本运行后释放的文件如下



那么我们为测试，把C:\Program Files\BaoFeng包括文件复制出来
运行，360会直接拦截，主义看连接地址

放过去看看他加载的是谁


然后我们同样把名字改为Win7898609.exe


运行360无拦截，难道配置的是静态iP?
因为连接地址变了


这样执行以后，自身会删除这个Win7898609.exe
病释放到此目录下运行



那么在看下不改名字


同样连接的是真正的远控地址360无拦截


那么我这里是否要怀疑360是单纯的域名或者说黑IP拦截呢？

那么测试完了，通过以上现象可疑看到样本个文件的关系


母体spy.exe执行以后加载同目录下的StormPlayer.dll之后
创建C:\Program Files\BaoFeng\StormPlayer.dll
创建C:\Program Files\BaoFeng\StormPlayer.exe
创建C:\Program Files\Win4562640.exe

然后分为3种启动方式---其实不算方式，只是换了下白+黑的路径与文件名
一 原目录下的spy.exe加载同目录下的StormPlayer.dll然后去加载C:\Program Files\BaoFeng\StormPlayer.dll直接执行远控
     
二 spy.exe加载同目录下的StormPlayer.dll以后去启动C:\Program Files\BaoFeng\StormPlayer.exe加载C:\Program Files\BaoFeng\StormPlayer.dll执行远控，但是这种很容易被类似金山那样的主防规则所拦截

三 spy.exe加载同目录下的StormPlayer.dll执行以后进入内存删除自身，去启动C:\Program Files\Win4562640.exe加载C:\Program Files\BaoFeng\StormPlayer.dll执行远控..
同时启动系统进程csrss.exe来执行这样就容易绕过主防，和避免在运行中因杀毒软件的查杀影响到远控过程

那么拦截关键就是不要让C:\Program Files\BaoFeng\StormPlayer.dll加载进去...

以上这些纯属表面看到的，各厂商工作人员应该详细分析下，以确认正确的拦截方式...
来保障用户隐私安全

li13911

win7下管理员运行

maomao110

好深奥  我还是那句话 装个360套装吧  下一个引擎开启监控 要是真中毒了  那也没办法了

kfsb250

这个样本根本就没打算兼容win7。

lvhaoran123

等着官人来处理

vm001

lvhaoran123 发表于 2013-3-10 12:08
等着官人来处理

没有拦截到估计是静态ip的缘故

liangxy

vm001 发表于 2013-3-10 12:41
没有拦截到估计是静态ip的缘故

这也太没技术含量了啊！！！

sam__天涯

liangxy 发表于 2013-3-10 12:46
这也太没技术含量了啊！！！

庞大的云库就是技术含量。

lvhaoran123

vm001 发表于 2013-3-10 12:41
没有拦截到估计是静态ip的缘故

远控控制端和客户端之间的通信有没有什么特殊的特征？远控有没有什么特殊的特征？