小测360对于网购木马的扫描及加壳实验

显示全部楼层 · 发表于 2011-8-6 14:44:12

本帖最后由蓝芯云安全于 2011-8-6 14:45 编辑

样本地址在此：样本地址

四个均为现在比较流行的网购木马，在交易付款时，产生虚假的页面遮挡正常的网银页面（而不是变更虚假地址，躲过安全浏览器的侦查），从而盗取资金

由于其特征较明显，可以看到，360安全卫士确实在第一次扫描时，即报告为恶意文件：

其中，1、3号为云特征引擎报毒，2、4号为云安全引擎报毒，个人认为2、4号文件为360的实时鉴定所查杀的，1、3号为直接匹配特征：

使用Themida加壳软件对这四个文件进行加壳，再次扫描，四个文件均躲过了360的实时鉴定：

对其进行自动上传，发现自动上传了1、3号加壳文件，未上传2、4号

最终杀了6个，2、4号加壳未杀

大家可以看一下大小，2、4号加壳文件虽然体积有所增加，但是仍小于10M，当然更加大大小于360云上传阀值200M，由于360没有主动上传机制，所以我现在也不知道2、4号文件该添加到哪里去上传。

显示全部楼层 · 发表于 2011-8-6 14:51:51

看看2,4号是否还能正常运行

显示全部楼层 · 发表于 2011-8-6 14:58:40

李白vs苏轼发表于 2011-8-6 14:51
看看2,4号是否还能正常运行

你试试看，应该可以的

显示全部楼层 · 发表于 2011-8-6 15:13:06

支持测试。。

显示全部楼层 · 发表于 2011-8-6 15:13:48

换别的杀软试试，为什么偏偏是金山？？？？？？？

显示全部楼层 · 发表于 2011-8-6 15:19:29

蓝芯云安全发表于 2011-8-6 14:58
你试试看，应该可以的

这就是你的测试成果？

显示全部楼层 · 发表于 2011-8-6 15:21:18

zdolo 发表于 2011-8-6 15:19
这就是你的测试成果？

少搭理这种xx

显示全部楼层 · 发表于 2011-8-6 15:21:28

文件名称：Themida加壳.rar
上传用户：wd19880427
修改时间：2011/08/06 14:15:16
文件大小：3.745 MB
看到完这个，各位就不需要回复了。。

显示全部楼层 · 发表于 2011-8-6 15:21:33

zdolo 发表于 2011-8-6 15:19
这就是你的测试成果？

不是对你说的话请无视，关注一楼就可以了

显示全部楼层 · 发表于 2011-8-6 15:23:17

evilrabbit 发表于 2011-8-6 15:21
文件名称：Themida加壳.rar
上传用户：wd19880427
修改时间：2011/08/06 14:15:16

所有的都说得很清楚，样本也给了，有什么结论自己测

[讨论] 小测360对于网购木马的扫描及加壳实验

本帖子中包含更多资源

本帖子中包含更多资源