似乎是过360安全卫士网购保镖的网购木马

yestersummer

现在搞清楚了，下次实验一定把环境和路径说清楚比较好。

Tron

leisong 发表于 2011-12-13 13:32
36F说的没错，解压到桌面的“双击打开”文件夹里，还是有一定几率不报，而在别的地方报得很灵敏

已经增强完了，你可以测试下，现在解压到桌面也报，如果选择不处理，运行时肯定会报。

如果是桌面的文件夹，和其他的地方是一样的，不会有问题，刚才是如果是桌面根目录，如果网络状态不良可能引起不报，这个以后会做一些调整来避免。

卧龙传说

Tron 发表于 2011-12-13 13:36
已经增强完了，你可以测试下，现在解压到桌面也报，如果选择不处理，运行时肯定会报。

如果是桌面的文 ...

好吧 我这里还是那样....其他目录下可以拦截 桌面上,也就是桌面根目录下无法拦截.....

yjwfdc

Tron 发表于 2011-12-13 12:46
不是特征码报毒，而是通过攻击行为判定报毒，这个是有签名的白文件，不可能通过特征码去杀的，你可以用查 ...

如果说这个是行为拦截,就真的太奇怪了,你试试不运行这个病毒,把这个病毒从其它地方复制到桌面,也是弹一样的框,这是拦截的什么病毒行为呢?

yestersummer

卧龙传说 发表于 2011-12-13 13:56
好吧 我这里还是那样....其他目录下可以拦截 桌面上,也就是桌面根目录下无法拦截.....

确实解压到桌面根目录不报，放360沙箱里面运行也不报，但是其他位置不管放不放沙箱里面都报！实机测试！

leisong

Tron 发表于 2011-12-13 13:36
已经增强完了，你可以测试下，现在解压到桌面也报，如果选择不处理，运行时肯定会报。

如果是桌面的文 ...

现在解压桌面就报毒了，在桌面根目录运行也报毒了，但发生了一个非常诡异的一个问题

看图，我把文件夹名随便改一下，双击，不但不报毒，而且网购拦截未知，我肯定没修改过程序，看图上360显示的还是修改前的文件夹名，是不是判断逻辑出了点问题，如果允许运行，绝大多数情况下不报毒，偶尔弹绿色安全的框（手动模式下，这个不重现）

修改文件夹名让360判断失效，不仅误判为未知且允许后主防失效是可以多次重现的，什么判断逻辑失误导致这么诡异？我重启过系统重现了N次了，够诡异

leisong

Tron 发表于 2011-12-13 13:36
已经增强完了，你可以测试下，现在解压到桌面也报，如果选择不处理，运行时肯定会报。

如果是桌面的文 ...

大概是怎样的一个行为分析过程能否稍微披露一下（在不影响机密的情况的下），为什么会这样，
看下图，比如我解压到一个文件夹里面，双击报毒

1、然后修改文件夹名，双击不报毒了，拦截未知，允许后也不报毒拦截，而是完全放行了。

2、然后我在修改那个EXE文件名，双击就又报毒了，

3、再次修改文件夹名，再次拦截未知而不报毒，重复1这个过程


然后1 2 3可以反复修改反复重现

这是什么行为报毒模式，它的行为既然没改变，怎么会出现这种状况？

Tron

leisong 发表于 2011-12-13 14:27
大概是怎样的一个行为分析过程能否稍微披露一下（在不影响机密的情况的下），为什么会这样，
看下图，比 ...

这跟这个的行为拦截没关系，你这个是触发了一个WINDOWS系统的自身的问题，不过不影响防御，具体细节我就不在这里说了。

leisong

Tron 发表于 2011-12-13 14:29
这跟这个的行为拦截没关系，你这个是触发了一个WINDOWS系统的自身的问题，不过不影响防御，具体细节我就不 ...

可能是360跟踪得太底层了，反而看到修改前的文件夹名，而MD没这个问题。

但改了下文件名就让360的行为分析失效，已经影响到防御了啊，主防不拦截了。——当然你要说木马不会自己修改文件夹名且还是在桌面上，那没办法，只是很奇怪360的报毒机制，行为没变啊，改下文件夹名却不报了，为什么？

PS：不方便透露

常遇贵人

前来围观。。。学习中。。。