从诺顿sonar对XueTr的误报看sonar的本地行为分析

fzq198776

leisong 发表于 2011-6-18 22:00
XUETR的版本不会影响他本身的动作，只是驱动略不同而已。所以就是冲突。
这么多装在一起，没冲突就奇怪了 ...

见 29 楼~~

leisong

fzq198776 发表于 2011-6-18 22:02
见 29 楼~~

怪了。SONAR太怪了。

PS：那就麻烦楼主也分析下为什么这个版本的XUETR不杀，对行为来说有什么区别吗？

fzq198776

leisong 发表于 2011-6-18 22:00
XUETR的版本不会影响他本身的动作，只是驱动略不同而已。所以就是冲突。
这么多装在一起，没冲突就奇怪了 ...

另外 前段时间看了不少 通过伪造 文本框 来让用户“心甘情愿”把网银上的钱转给 攻击者，U盾神马的都成了浮云，让我触目惊心，仔细看了下原理，估计 KIS2011 微点 360的主防针对此都是浮云，所以我那天才在纠结，浏览器在沙箱里运行或者是KIS2011的安全桌面里运行 浏览器，那么系统里的木马是否还能在支付页面 或转账页面 上伪造文本框？

fzq198776

jefffire 发表于 2011-6-18 22:02
0.4版本有两个

33楼的问题，一起参与讨论下

fzq198776

leisong 发表于 2011-6-18 22:06
怪了。SONAR太怪了。

PS：那就麻烦楼主也分析下为什么这个版本的XUETR不杀，对行为来说有什么区别吗？

答案见 30 楼

jefffire

fzq198776 发表于 2011-6-18 22:06
另外 前段时间看了不少 通过伪造 文本框 来让用户“心甘情愿”把网银上的钱转给 攻击者，U盾神马的都成 ...

这种网购样本，网购的时候警惕一下，就成浮云了。

fzq198776

jefffire 发表于 2011-6-18 22:14
这种网购样本，网购的时候警惕一下，就成浮云了。

不是网购样本，因为不替换 交易页面，我看了一个专门针对 网银转账的 木马，当你转账时，直接弄出了一个伪造的文本框覆盖在 网银页面的“转入账户”一栏上，然后在真正的“转入账户”一栏上填入 攻击者的网银账户，但这时候因为被他的伪造文本框所遮挡，因此你根本看不到，然后你在他伪造的文本框里输入了你真正想 转入的账号，但是很显然这是无用的，于是你至始至终都以为你的操作是正确的，而且你还插着 银行吹的 牛B哄哄的 U 盾，当你点击确定时，你的钱也就进了攻击者的口袋了。类似的攻击方式还可以衍生，对于这种木马，主防还真不好防，因为几乎没啥动作，而且也没啥技术含量，其实就是猥琐流+社会工程学的结晶！我感觉针对这列木马只有快速云响应才是最有效的，所以我才把360卫士换成了 金山套 —— 金山云的快速响应 快速鉴定，平心而论还是不错的

fzq198776

leisong 发表于 2011-6-18 22:06
怪了。SONAR太怪了。

PS：那就麻烦楼主也分析下为什么这个版本的XUETR不杀，对行为来说有什么区别吗？

37 楼，我详细描述了下，你再看看，欢迎一起讨论啊

leisong

fzq198776 发表于 2011-6-18 22:20
37 楼，我详细描述了下，你再看看，欢迎一起讨论啊

我没看懂你的描述具体如何实现，劫持支付页面还好理解，这个伪造文本框如何实现，支付页面还是真的，就是由木马程序另外弄出一个文本框覆盖到支付页面的转入账户上，根据你的描述这个文本框不是由网页恶意脚本（网马)实现的，不在网页里面，而是在网页外面，那为什么可以覆盖的位置这么准确呢？这个文本框是外置的，它是如何精准定位到转入账户那里的，外置的文本框不是可以拖动的吗？

另外，这个没什么恶意代码，整个就是钓鱼程序，任何主防都不好防，但你确定金山的鉴定器不会自动鉴定为安全？错误鉴定的例子也够多的了，没恶意代码的东西，你让机器如何自动鉴定出来?

fzq198776

leisong 发表于 2011-6-18 22:58
我没看懂你的描述具体如何实现，劫持支付页面还好理解，这个伪造文本框如何实现，支付页面还是真的，就 ...

看这个帖子吧，我重新开贴详细描述了
http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid19696557