金山卫士1.22拦截微软lnk漏洞测试。

yjwfdc

金山卫士拦截微软lnk漏洞测试。
金山卫士1.22声称可以拦截利用微软lnk漏洞的病毒，于是做了一下测试，由于本人不会编程，只能做表面功夫，如果有什么不对的地方，请指正。

怀疑是特征码查杀或者文件名查杀的人,请再看清楚测试过程.

1下载安装金山卫士1.22
我下载的是完整包
http://dl.ijinshan.com/safe/setup_full.exe


2再去样本区下载 微软lnk漏洞应用实例.rar
http://bbs.kafan.cn/thread-752673-1-2.html


3解压 测试文件到d盘



4把suckme.lnk_改名为suckme.lnk,金山卫士没有反应。


5这个样本看说明是在c盘才有效，于是从新解压测试文件到d盘，再把suckme.lnk_和dll.dll复制到c盘.

6把suckme.lnk_改名为suckme.lnk,金山卫士弹出来了，并且立即把uckme.lnk和dll.dll删除。图


7我想再测试一次，先退出金山卫士，再把d盘suckme.lnk_和dll.dll复制到c盘.把suckme.lnk_改名为suckme.lnk 图

8关闭c盘。再运行金山卫士。图

9打开我的电脑，双击打开c盘，金山卫士没有反应。图


10点击suckme.lnk文件，金山卫士弹出窗口 图

11点确定，suckme.lnk和dll.dll 被删除了。


结果：
在explorer.exe读取suckme.lnk时，金山卫士拦截了其运行dll.dll的行为，并且把这两个文件删除了。



12为了测试一下是不是文件名或者哈希值查杀,用二进制编辑器把它的文件名改了一下,


13把dll改为yjw


14另存为yjw.lnk_


15再把yjw.lnk_改名为yjw.lnk,金山卫士出来报了.


再试了一下用其它dll文件替换yjw.dll文件，也一样是报的，所以说明和这两个文件的文件名、哈希值无关，确实拦截住这个lnk漏洞。

liqing0305

让图说明一切

jijiasd

这个样本好像很多产商都去除报毒了

漏洞百出

支持啊

llblq

支持楼主，那个令人敬畏的，火药很频繁的童鞋应该进来看看

taihuxian

谁测下360看看

zyh6036

文件名杀毒效果还不错嘛

jefffire

这是个poc而已，这个dll完全无恶意。凡是报毒的都是误报

猪头大队

谁测下360看看
taihuxian 发表于 2010.7.28 18:33

支持

jefffire

同时建议LZ改名，末尾添零后再测