MSE 居然無視這掛馬網站

显示全部楼层 · 发表于 2011-9-26 15:23:30

本帖最后由 a256886572008 于 2011-9-26 15:25 编辑

如上圖，comodo 已經叫得很誇張了，MSE 還不為所動。

大家看看自己的MSE會不會叫

掛馬網站：
hXXp://jabbdstjyus.com/index.php?tp=001e4bb7b4d7333d

對了，IE 或 java 有彈框，請點忽略或允許。

測試環境：
XP SP3 32bit

java 6.0.220

IE 8

显示全部楼层 · 发表于 2011-9-26 15:38:58

IE9打开一片空白没反应一直loading

显示全部楼层 · 发表于 2011-9-26 15:41:02

本帖最后由 a256886572008 于 2011-9-26 15:41 编辑

看上圖右下角，雖然一進去網站，MSE彈框報 .htm 文件，正在清除中。
file:C:\Documents and Settings\Roger\Local Settings\Temporary Internet Files\Content.IE5\FJR2AHIK\main[1].htm

此時，我按下 java 彈框的允許，病毒就開始後台執行了。

有此看來，紅傘那種直接報 java 快取，才能真正的阻止病毒後台執行。

掛馬網站：
hxxp://sd.xl-hotline.com/main.php?page=fc3e77a595495932

显示全部楼层 · 发表于 2011-9-26 15:50:33

AIRSHAPE 发表于 2011-9-26 15:38
IE9打开一片空白没反应一直loading

对呀，IE9一直loading~最后无法显示

显示全部楼层 · 发表于 2011-9-26 15:54:14

有人說，是因為 XP 下沒這東西。

XP 下的 MSE，沒有防網頁掛馬的能力？

显示全部楼层 · 发表于 2011-9-26 16:28:48

有网页防挂马能力，假如可以，关闭comodo，虚拟机上MSE，IE8打开网站，看看MSE会不会弹窗清理~
直接拦截网址是肯定不会的，注重的还是本地处理~

显示全部楼层 · 发表于 2011-9-26 17:16:16

本帖最后由 a256886572008 于 2011-9-26 17:17 编辑

wy1091727248 发表于 2011-9-26 16:28
有网页防挂马能力，假如可以，关闭comodo，虚拟机上MSE，IE8打开网站，看看MSE会不会弹窗清理~
直接拦截网 ...

第2個網站，有人說，等清理完成，網頁才會全白。

這還沒關係，重點就是最牛的第一個網站。

MSE 是連 .htm 文件都不會抓的(手動右鍵掃描下載的dll網馬，全免殺)。

還有病毒進程都是可信任的系統進程。

關於這個掛馬網頁的詳細測試
http://bbs.kafan.cn/thread-1094359-1-1.html

显示全部楼层 · 发表于 2011-9-26 17:53:49

a256886572008 发表于 2011-9-26 17:16
第2個網站，有人說，等清理完成，網頁才會全白。

這還沒關係，重點就是最牛的第一個網站。

估计是dll注入了系统进程，有样本的话，就帮忙上报吧，上报了保留第二个跳转页面的链接，去置顶帖的上报奖励帖把~
我上回中网马，要追溯到今年一月了，当时总共四个网马，MSE立马杀掉3个，还有一个在3分钟之后触发了动态拦截，被清理掉了~

显示全部楼层 · 发表于 2011-9-26 19:02:50

本帖最后由 a256886572008 于 2011-9-26 19:03 编辑

wy1091727248 发表于 2011-9-26 17:53
估计是dll注入了系统进程，有样本的话，就帮忙上报吧，上报了保留第二个跳转页面的链接，去置顶帖的上报奖 ...

主要是 MSE 不殺 java 快取，而是殺 .htm，但是入庫太慢，造成悲劇。

紅傘就是靠著能殺這個，才免疫所有java漏洞。
hxxp://95.163.88.209/GWeather.class

這快取文件，所有 java漏洞都會用到，而且都是同個文件

显示全部楼层 · 发表于 2011-9-26 19:19:49

a256886572008 发表于 2011-9-26 19:02
主要是 MSE 不殺 java 快取，而是殺 .htm，但是入庫太慢，造成悲劇。

紅傘就是靠著能殺這個，才免疫 ...

什么叫java 快取？

[其他事项] MSE 居然無視這掛馬網站