针对昨天晚上10号微点主防不报的一个简单分析

显示全部楼层 · 发表于 2010-6-11 18:31:51

呵呵，刚才重新对昨天晚上微点主防的剩余样本进行复查，发现还报警了一个

下面是各个样本运行的一些简单分析：

ICYFSSA.exe 运行后，长时间驻留内存，创建的衍生物qlmidimap.dll并没有被加载起来，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (2).exe 运行后，长时间驻留内存，无创建衍生物，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (5).exe 运行后，长时间驻留内存，无创建衍生物，有联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (10).exe 运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报。

ICYFSSA (14).exe 运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报。

ICYFSSA (17).exe 运行后，立即退出，未联网，安装百度地址栏，在桌面创建“成人小游戏”网页快捷方式，并修改IE主页，微点不报。

ICYFSSA (18).exe 运行后，长时间驻留内存，无创建衍生物，有联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (19).exe 运行后，微点报警

ICYFSSA (23).exe 运行后，长时间驻留内存，无创建衍生物，有联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (25).exe 运行后，长时间驻留内存，无创建衍生物，有联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (26).exe 运行后，立即退出，未联网，无创建衍生物、未修改注册表，微点不报。

ICYFSSA (28).exe 运行后，有联网，无创建衍生物、未修改注册表，一分钟左右后程序立即退出，微点不报。

ICYFSSA (29).exe 运行后，15秒过程序立即退出，未联网，无创建衍生物、未修改注册表，微点不报。

ICYFSSA (33).exe 运行后，跳出DOS窗口，DOS窗口关闭后，该程序立即退出，未联网，无创建衍生物、未修改注册表，微点不报。

ICYFSSA (46).exe 运行后，立即联网，并从远端下载PPSPLAYER.EXE到本地进行安装，微点不报。

ICYFSSA (53).exe 运行后，立即联网，并从远端下载PPLIVESETUP_FORQD99.EXE到本地进行安装，并在桌面创建PPTV的快捷方式，微点不报。

ICYFSSA (56).exe 运行后，立即联网，并从远端下载QVODSETUP_124886.EXE到本地进行安装，微点不报。

ICYFSSA (57).exe 运行后，长时间驻留内存，无创建衍生物，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (58).exe 运行后，长时间驻留内存，无创建衍生物，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (62).exe 运行后，立即退出，未联网，创建的衍生物qlmidimap.dll并没有被加载起来，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

ICYFSSA (63).exe 运行后，立即联网，从远程下载程序到本地，并打开购物网站以及在桌面右下方弹出广告，微点不报。

ICYFSSA (64).exe 运行后，长时间驻留内存，无创建衍生物，无联网，无创建注册表；系统重新启动也未被调用起来，微点不报。

显示全部楼层 · 发表于 2010-6-11 18:35:07

那些几无的有危害不？没危害微点不报算不算过微点呢？

显示全部楼层 · 发表于 2010-6-11 18:35:22

本帖最后由红烧大馋豆于 2010-6-11 18:36 编辑

看看有啥差别

6.10
剩余样本：（8）
10、18、23、25、27、28、57、64
具体情况：
10运行后，立即退出，未联网，未产生衍生物、未修改注册表，微点无反应，拦截失败
18运行后，联网，未产生衍生物、未修改注册表，一段时间后自动退出，微点无反应，拦截失败
23运行后，联网，未产生衍生物、未修改注册表，微点无反应，拦截失败
25运行后，联网，未产生衍生物、未修改注册表，微点无反应，拦截失败
27运行后，未联网，未产生衍生物、未修改注册表，一段时间后自动退出，微点无反应，拦截失败
28运行后，联网，未产生衍生物、未修改注册表，一段时间后自动退出，微点无反应，拦截失败
57运行后，未联网，未产生衍生物、未修改注册表，微点无反应，拦截失败
64运行后，未联网，5分钟后生成svkocmning.tmp和tpqxquuwkb.bak文件，其中tpqxquuwkb.bak产生联网，未修改注册表，微点无反应，拦截失败
拦截成功截图：

2010-6-10 20:48 上传
下载 (22.7 KB)

36

2010-6-10 20:48 上传
下载 (24.11 KB)

39

2010-6-10 20:48 上传
下载 (21.65 KB)

40

2010-6-10 20:48 上传
下载 (25.99 KB)

41

2010-6-10 20:48 上传
下载 (18.93 KB)

42

2010-6-10 20:48 上传
下载 (19.59 KB)

43

2010-6-10 20:48 上传
下载 (20.62 KB)

44

显示全部楼层 · 发表于 2010-6-11 18:35:57

这么多样本都是没动作的，这样的情况，微点不报警是正常的，符合它的工作原理。

显示全部楼层 · 发表于 2010-6-11 18:39:23

感觉差别还是在虚拟机的系统上，环境不同，自然就报的有差别

显示全部楼层 · 发表于 2010-6-11 18:40:32

27你那里报？我这不报。。。
64是生成文件的。。。只不过很长时间，大约5分钟。。

显示全部楼层 · 发表于 2010-6-11 18:56:31

又见测试说明帖,学习了.从中也可更加了解微点机理,不过还是希望微点能加强对流氓的拦截!说实在的，佛兄和大馋豆兄不仅要测试，还要写说明，真的是辛苦，谢谢了！

显示全部楼层 · 发表于 2010-6-11 20:08:19

我现在相信部分样本确实需要触发条件，确实有不做任何动作退出的样本，这样的样本是不能说拦截失败的，何以斑竹全部都归为拦截失败

不过微点对付流氓动作确实是它的短板

目前的微点超过360主防甚多，不过在360改进的它的防御和查杀机制，并融入S大的主防后，整体防御能力很可能会超越现在的微点
所以我期待微点2代是什么样的，有没弥补1代主防的缺陷，真正构造出全方位立体主防。

显示全部楼层 · 发表于 2010-6-11 20:33:05

谢谢楼主的评判，微点一般能拦截住对系统较大危害的进程

显示全部楼层 · 发表于 2010-6-11 22:24:34

学习了。。微点对改主页的毒真的是。。

[微点] 针对昨天晚上10号微点主防不报的一个简单分析

本帖子中包含更多资源

评分