某样本的联网动作

wjcharles

此样本运行后的联网动作http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid19964462

这两个网址：

finddelightful.org/pica1/525-direct

finddoubtful.org/pica1/525-direct


nis2011的记录：

类别：入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明,类别
2011/7/5 21:11,高,阻止了 finddelightful.org 的入侵企图,已阻止,不需要操作,Web Attack: Exploit Kit Variant Activity 2,不需要操作,不需要操作,"finddelightful.org (141.136.16.13, 80)",finddelightful.org/pica1/525-direct,"-PC (210.32.., 52881)",141.136.16.13 (141.136.16.13),"TCP, www-http",
2011/7/5 21:11,高,阻止了 finddoubtful.org 的入侵企图,已阻止,不需要操作,Web Attack: Exploit Kit Variant Activity 2,不需要操作,不需要操作,"finddoubtful.org (193.105.154.29, 80)",finddoubtful.org/pica1/525-direct,"-PC (210.32.., 52879)",193.105.154.29 (193.105.154.29),"TCP, www-http",

klinxun

诺顿拦截外联也是靠ips……
趋势拦外联倒是挺牛。

wjcharles

klinxun 发表于 2011-7-5 21:40
诺顿拦截外联也是靠ips……
趋势拦外联倒是挺牛。

貌似诺顿防外联就这样非黑即白，所以遇上支付宝钓鱼那种就很悲剧
看趋势的双击测试好像防外联卡得很严，但主防还差了点。。。

klinxun

wjcharles 发表于 2011-7-5 21:53
貌似诺顿防外联就这样非黑即白，所以遇上支付宝钓鱼那种就很悲剧
看趋势的双击测试好像防外联卡得很严， ...

是啊，sep的墙就好些了。
趋势是因为web防护也是基于底层嘛，任何链接都要经过web信誉过虑，不过主防确实差点，hook点不多。

wjcharles

klinxun 发表于 2011-7-5 22:02
是啊，sep的墙就好些了。
趋势是因为web防护也是基于底层嘛，任何链接都要经过web信誉过虑，不过主防确实 ...

嘿嘿，倒是感觉趋势的web防护更符合边界防护的定义，不知道这种程序外联利用漏洞攻击是否在某些边界防护的范围之内

klinxun

wjcharles 发表于 2011-7-5 22:13
嘿嘿，倒是感觉趋势的web防护更符合边界防护的定义，不知道这种程序外联利用漏洞攻击是否在某些边界防护的 ...

不在