最新白文件利用活木马实测金山KSC

jefffire

最近利用白程序dll加载漏洞的网购木马层出不穷，金山官方在宣传KSC时也使用了白利用网购木马。为了实测KSC对此类木马的检测能力，本人选用了两个最新样本，实机运行测试。
测试系统：Windows 7 ultimate 32bit
测试硬件：CPU：奔腾 E5800 3.2GHz
                内存：4G
测试软件：金山毒霸2012 SP3.1  主程序版本2012.SP3.1.020711


首先看一下金山毒霸的状态并升级到最新版








接下来我们上第一道菜，这是一个利用了某程序的网购木马，具有有效数字签名




先右键查杀一下。未发现木马。




双击运行，K+没有反应。Xuetr看进程和模块，可见木马已经成功运行了，恶意模块已经成功加载。再查看网络连接，木马已经成功建立连接。




接下来是KSC上场的时候了，启用一键云查杀。



没有任何发现。第一轮完败。

jefffire

接下来是第二轮。这一轮的样本，已经在卡饭样本区出现过类似的（http://bbs.kafan.cn/thread-1223969-1-1.html 这也是金山官方宣传中所用的样本），所利用的白程序相同但是恶意dll有所不同。




也先右键查杀一下，没有发现木马。




双击运行，K+没有反应。木马进程已经启动，恶意模块已加载，同时启动项出现了名为“百度加速”的恶意项。





一键云查杀，看看KSC的威力。这次KSC发现了木马。原因是不正常的启动项。

jefffire

写在最后


两个网购木马样本，KSC查出一个，K+均无反应。分析这两个样本，它们的相同点都在于对白文件样本的利用，然而又有所不同。第一个样本是一次性样本， 没有写启动项，第二个样本，写了启动项，想常驻电脑。对于异常启动项，KSC追查到了源头，但是对于没有启动项的木马，则显得十分无奈。实际上对于网购木马来说，一次成功即可，只有提前防御才能避免受害，至于事后的查杀，已经于事无补了，KSC尽快和K+融合是当务之急。

最后，关于样本有兴趣的中立人士可向我PM索要。

寂静de雨季

膜拜下

kerlee

此贴很诚恳，官方应该重视和完善KSC和K+

Palkia

http://bbs.duba.net/thread-22644104-1-1.html

看看这个

jefffire

Palkia 发表于 2012-2-16 21:30
http://bbs.duba.net/thread-22644104-1-1.html

看看这个

这～～～

Palkia

jefffire 发表于 2012-2-16 21:30
这～～～

有时间的话再试试今晚更新的版本

http://bbs.kafan.cn/thread-1225179-1-1.html

hw2619

金山KSC明确的写着，针对的是启动点的病毒。
对于不在启动点中，而用户双击运行的病毒，用户主动想运行
看来金山KSC宣传的启动点痕迹查杀还是很给力的~

无极御鳞

KSC不愧是金山新的神器！