本帖最后由 zhagjun 于 2011-5-3 09:27 编辑
对微点有一定了解的朋友一定知道,在长期关注微点发展的用户中,微点的防流氓能力一直以来为大家所诟病。不过我认为:微点的行为拦截对于防流氓有特别的效果。
对于流氓软件(流氓插件)和流氓行为,每个人都有不同的看法,无法简单地作出让所有人信服的判定。腾讯说360的扣扣保镖是流氓软件,360说百度的工具条是流氓插件,金山说360不兼容金山网盾是流氓行为。就连这些业界巨鳄的公关战也是打得难解难分,都闹到法院去了。你说微点敢引入检测机制弹框报各种各样的未知流氓吗?
再比如说我用来写这篇文章的金山WPS。我安装该软件时,安装程序在没有询问我的情况下帮我安装了金山快盘。对于办公室一族来说,金山快盘是很有用的,免费提供几G的在线空间,能随时随地同步和编辑自己的工作文档,很方便。而对我来说,我不需要,而且卸载金山快盘后根本不影响金山WPS,我个人认为这就是一种捆绑安装的流氓行为。你觉得微点如何能判断出我只想装金山WPS而不想装金山快盘呢?这是不是强人所难呢?
但是我说了:我认为微点的行为拦截对于防流氓有特别的效果。即,不好判断的东西我管不着,但是明显是耍流氓的即使你是有签名的白名单程序也不放过。
第一个例子是以前微点用户发现的:搜狗浏览器修改360安全卫士默认浏览器被修改的弹窗
搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马
作者:ooxxvsxxoo
使用搜狗拼音的时候提示下载安装搜狗浏览器, 一时好奇, 装一个呗.
装完后机器上的微点报有木马, 仔细一看报的是搜狗浏览器主进程生成的一个tmp文件.
这是咋回事情呢? 自己的机器一直很干净, 不可能被感染啊...
IDA此TMP...
嗯 call sub_4011C3, 点进去看看.
if ( SHGetFolderPathW(0, 38, 0, 0, &String2) )
lstrcpyW(&String2, L"C:\\Program Files");
lstrcpyW(&Data, &String2);
lstrcatW(&Data, L"\\360\\360se3\\360SE.exe");
hKey = 0;
if ( !RegOpenKeyW(HKEY_CLASSES_ROOT, L"Applications\\360SE.exe\\shell\\open\\command", &hKey) )
{
cbData = 260;
RegQueryValueExW(hKey, 0, 0, 0, (BYTE *)&Data, &cbData);
}
lstrcpyW(&String1, &String2);
lstrcatW(&String1, L"\\Internet Explorer\\iexplore.exe");
v13 = &String1;
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
v21 = &Data;
v2 = 0;
do
{
wsprintfW(&CommandLine, L"\"%s\"", (&v14)[2 * v2]);
v4 = 68;
v3 = &StartupInfo;
do
{
LOBYTE(v3->cb) = 0;
v3 = (struct _STARTUPINFOW *)((char *)v3 + 1);
--v4;
}
while ( v4 );
StartupInfo.cb = 68;
v6 = 16;
v5 = &ProcessInformation;
do
{
LOBYTE(v5->hProcess) = 0;
v5 = (struct _PROCESS_INFORMATION *)((char *)v5 + 1);
--v6;
}
while ( v6 );
result = CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000004u, 0, 0, &StartupInfo, &ProcessInformation);
if ( result )
{
result = sub_401000(ProcessInformation.hProcess, ProcessInformation.hThread, lpBuffer, a2);
if ( (_BYTE)result )
return result;
result = TerminateProcess(ProcessInformation.hProcess, 0);
}
++v2;
}
while ( v2 < 9 );
return result;
}
以上代码看不懂也可以跳过的
哈哈 强大的F5啊.
原来搜狗和360开战了, 判断下有没有\\360\\360se3\\360SE.exe 360安全浏览器.
如果有的话就调用这些系统进程.
"notepad.exe";
"calc.exe";
"cmd.exe";
"regedit.exe";
"ctfmon.exe";
"osk.exe";
"explorer.exe";
然后
if ( NumberOfBytesWritten == 12
&& (WriteProcessMemory(v9, lpStartAddress, dword_403010, 0x40u, &NumberOfBytesWritten), NumberOfBytesWritten == 64)
&& (WriteProcessMemory(v9, v16, lpBuffer, v5, &NumberOfBytesWritten), NumberOfBytesWritten == v5)
&& (v10 = (DWORD)lpStartAddress, CreateRemoteThread(v9, 0, 0, lpStartAddress, 0, 0, 0)) )
{
Context.ContextFlags = 65599;
if ( GetThreadContext(hThread, &Context) )
{
Context.Eip = v10;
SetThreadContext(hThread, &Context);
ResumeThread(hThread);
}
result = 1;
}
嗯 GetThreadContext WriteProcessMemory 猥琐流 改变notepad.exe等的程序执行, 怪不得会被微点报木马了.
v29 = GetProcAddress(v13, "SendInput");
搜狗费了这么大的劲来改变notepad.exe的执行顺序, 想干嘛呢?
功力不够, 看不出来了 还是试试看吧.
不懈努力下, 终于搞明白了.
原来搜狗在用Sendinput点击卫士的默认浏览器修改弹窗.
唉... 有这精力干点啥不好, 非得去攻击别人的软件, 得 被微点报木马了吧.
第二个例子是我发现的雨过天晴极速恢复软件联网下载病毒。
事情的过程大概是这样的。
2010年下半年,微点隔三差五地报雨过天晴极速恢复主程序为木马。我给微点客服发送了雨过天晴极速恢复主程序和技术支持信息,稍后微点去除了误报。
2011年2月上旬,微点又一次报雨过天晴极速恢复主程序为木马。我又给微点客服发送了雨过天晴极速恢复主程序和技术支持信息,稍后微点又去除了误报。
2011年2月中旬,微点又一次报雨过天晴极速恢复主程序为木马。我又给微点客服发送了雨过天晴极速恢复主程序和技术支持信息,不过这一次的结果就不一样了。
我们先说说雨过天晴极速恢复是个什么软件。这是一款比GHOST更通俗易懂的免费还原软件。不但通过了高新技术产品认定,还获得了第十二届中国国际软件博览会金奖。按照官方的讲法,几秒钟即可备份、恢复,还支持多点还原,目前已经有有几百万用户。
我先给微点客服传了样本。
又找雨过天晴客服沟通了下。然后把他与微点客服互加了好友。
微点反馈这次的确是病毒。怀疑雨过天晴被感染或者雨过天晴下毒。
排除了我的雨过天晴被感染,确认了雨过天晴下面的某个模块下毒。(PS:虽然毒是雨过天晴下的,但是还不能排除是雨过天晴的服务器沦陷了,无意间下载了病毒= =)
在微点防火墙添加策略,禁止该程序联网。第二天网络日志中满是雨过天晴被阻止访问网络的记录。会不会是雨过天晴其实只要极少地联网但是不成功所以反复重试联网才如此壮观呢?(每隔5分钟尝试联网2次)
微点客服说雨过天晴的客服告诉他雨过天晴不需要联网啊。(还原软件,要连网干嘛?照理说本就该照雨过天晴客服说的不该联网。但是事实却并非如此)
4月21日截图
4月24日截图
这程序简直是发了疯似地想联网啊!
我们现在来分析一下。首先,我们确认雨过天晴某一个模块从网络上下载了病毒。其次,雨过天晴这样一款还原软件却要不断联网(目标IP:61,155,106,59,端口号:80。用浏览器打开就是雨过天晴的官网),说明雨过天晴确实有频繁想连接自己的服务器。服务器可以被投毒,但是频繁连接自己的服务器这是软件内置的。
我现在只能说怀疑,怀疑雨过天晴频繁联网就是为了下载病毒,而且我的雨过天晴也确实下载了病毒(微点人工分析确认)。
在微点主防2.0发布后,我发现了一个小变动。在微点1.2版本的截图中,雨过天晴主程序被微点归类为“应用软件—系统软件”
而在微点2.0中,雨过天晴主程序被归类为“其他软件”
说白了就是被微点从可信程序白名单中踢出去了,至于背后的原因,我就不知道咯。
360说:数字签名相当于一款软件的“身份证”。如果一款软件带有数字签名,则能通过为其颁发数字签名证书的机构找到软件制作者的身份信息,包括公司联系人、联系电话,以及营业执照等。而杀毒行业为避免误杀正当软件,普遍不会查杀带有真实数字签名的文件。”
搜狗浏览器带签名了吧?雨过天晴主程序带签名了吧?(一年多前微点不识别雨过天晴时,雨过天晴安装时要正常修改MBR,微点拦截,重启后又是一直报木马,于是我就向微点公司反映了。后来可能是考虑到该软件是还原软件的特殊性,又有几百万用户,把所有进程模块一起加了可信)
但是不管是不是有签名(像一年多前有签名却被报警的雨过天晴),或者是不是有签名+已经被微点公司加入白名单(像搜狗浏览器和后来的雨过天晴主程序),有异常行为照样报!有流氓行为照样拦!
现在的下载站很多伪下载链接,下下来就是七七八八的流氓软件。百度搜外-挂,十个免费外-挂八个毒,剩下的两个即使能用也会改你主页、乱弹广告。遭遇这种流氓的微点用户需要靠安全意识的提高,而不是抱怨微点防流氓不给力。况且,虚拟机,沙盒,还原软件都是摆设吗?不会用可以去学习学习。。。要是又不想学习,又喜欢四处乱下文件实机点开运行,那被中毒被流氓被盗号还真是情理之中的了。
|
[复制链接]
发表于 2011-5-3 08:53:02
楼主
发表于 2011-5-3 09:53:05
给力,神油神游