从诺顿sonar对XueTr的误报看sonar的本地行为分析

jason_jiang

leisong 发表于 2011-6-18 22:58
我没看懂你的描述具体如何实现，劫持支付页面还好理解，这个伪造文本框如何实现，支付页面还是真的，就 ...

检测支付页面上转入账户那一栏的位置，绘制一个没有标题栏、没有边框的窗体，上面放一个文本框，把这个窗体放在那，挡住真正的转入账户栏
你输入的转入帐户实际上是填在伪造的文本框里，而木马自动往真正的转入账户栏里填写作者的账户
然后，在支付确认页和支付成功页上如法炮制（绘制一个假的Text显示你填的账户），于是你以为钱是正确划走了，实际上是转进了木马作者的账户里

实际上这种东西也有办法防，现在的U盾在交易时，U盾屏幕上也会显示交易信息，要求手动确认，但大部分人都不仔细看，直接确认

hj5abc

wjcharles 发表于 2011-6-17 18:20
果然罕见，拦截xuetr比拦截病毒的动作还多。。。
真遇上病毒还没见sonar本地行为拦得这么起劲的[:01 ...

乃在样本区的测试不是时而可见本地行为分析么～

leisong

jason_jiang 发表于 2011-6-18 23:05
检测支付页面上转入账户那一栏的位置，绘制一个没有标题栏、没有边框的窗体，上面放一个文本框，把这个 ...

有类似样本啊

wjcharles

hj5abc 发表于 2011-6-18 23:06
乃在样本区的测试不是时而可见本地行为分析么～

只有零星的样本有回滚，而且从未看到过回滚这么多项目
可能是我样本还测得不够多吧。。。也有可能样本对这种本地分析有针对处理
比如这个，母体释放几个衍生物交叉掩护，不同衍生物分别添加启动项与释放启动文件，这种复杂的关系加上sonar对母体保守的回滚，最终导致被穿
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

tokthoo

小白疑问。。。那样一个假文本框覆盖。。缩放浏览器，移动浏览器，它依然能定位到正确位置？

jason_jiang

leisong 发表于 2011-6-18 23:14
有类似样本啊

http://bbs.kafan.cn/thread-1005114-1-1.html

jason_jiang

tokthoo 发表于 2011-6-18 23:20
小白疑问。。。那样一个假文本框覆盖。。缩放浏览器，移动浏览器，它依然能定位到正确位置？

不奇怪，只要不停检测真文本框的位置就行了

jefffire

fzq198776 发表于 2011-6-18 23:01
看这个帖子吧，我重新开贴详细描述了
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1009761&page= ...

二代U盾能防

hj5abc

wjcharles 发表于 2011-6-18 23:18
只有零星的样本有回滚，而且从未看到过回滚这么多项目
可能是我样本还测得不够多吧。。。也有可能 ...

RENOS下载者，同时会下载其他变种的RENOS，添加计划任务自启动，比较恶心的国外木马

wjcharles

hj5abc 发表于 2011-6-18 23:31
RENOS下载者，同时会下载其他变种的RENOS，添加计划任务自启动，比较恶心的国外木马

原来如此，其实木马什么的nis倒都防住了，我特地重启了几次电脑，又放了一天，都保持联网，只是剩下那个shytua.exe总是时不时连接非常多不同的地址（有三四百个），虽然没有本地文件改动，但有点卡cpu，很不爽