QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

显示全部楼层 · 发表于 2012-3-9 13:46:27

本帖最后由 leisong 于 2012-3-10 21:55 编辑

最近金山加快了研发进度，尤其在K+上的发力让人欣慰，每周更新一个版本。由于防重于杀，主动防御的存在大大减低了绕过特征码检测新木马或经过免杀处理的木马的攻击成功率。所以主防才是具有前摄性防御能力及效果的，特征码引擎们哼哧哼哧的远远的跟着新型木马并被越甩越远。

测试所用金山最新公测版本2012 SP3.3

-----------------------------------------------------------------------------------

金山毒霸2012 SP3.3体验版发布，更新内容如下：

【系统防御】

1. 新增K+防御对64位原生系统支持（与32位系统防御能力相同）
2. 增强QQ粘虫病毒防御（针对通过结束QQ来盗号的病毒）
3. 新增K+针对查杀时木马关机的防御
--------------------------------------------------------------------------------------

我们来看看最近疯狂传播的利用白名单型QQ黏虫，金山主防如何防御的。

首先是利用金山签名的白文件，运行黏虫，将DLL病毒文件随便加个壳绕过微特征，运行，金山拦截，主防发威了。好样的，不过绕过禁运这一关放行后，后面黏虫真正的动作金山整个再无拦截。

由于一向对主防的拦截原理和能力好奇，遂到金山文件夹复制了金山自己的DLL过来改名为KIS.DLL, 双击，系统通知运行错误后，金山弹框拦截。意识到这是文件名拦截，遂做个空白的0字节的记事本文件改名KIS.DLL，双击，拦截。

将DLL随便改个名或删除，再也不拦，确定文件名拦截无疑。

其实根本无法运行，金山的拦截在系统通知运行错误之后。

下面是另一个利用酷我白文件的，同样弄个了0字节的记事本文件改名KwLogSvr.dll，双击，系统通知运行错误后，金山弹框拦截。将DLL随便改个名或删除，再也不拦，再次确定文件名拦截无疑。

自然这种拦截方式也可以在一定程度上对已经捕获的木马利用方式进行拦截，效率总比特征码入库高出很多，等于是收集白名单利用型木马的主程序以及DLL名单。已捕获的名单再也无惧免杀，但是同一个利用名单可以无数次免杀同一个特征码引擎，反过来也可以这样理解，特征码引擎（包括那些受部分卡饭盲目崇拜的国际大牌特征码引擎们）的拦截效率已经到了连文件名拦截都不如的地步，事实的确如此。

但是木马一旦变换白名单利用名单，依然会歇菜，而可利用的白名单成千上万，就连你安软公司自身的白文件都没逃脱被木马利用，更何况一般的无安全意识的无数的应用型软件了。所以更高的拦截效率还是应该在黏虫本身的动作上防，如果连卡饭一些初学编程普通会员都可以做的出来，如果你真的如你宣称的那般努力，还是应该及早加强。

PS：本帖毫无口水及主观判断，请就事论事针对事情本身讨论，不要绕过事情再次针对本人。我针对360主防已有差不多2年时间，从来未被绕过有样本有真相的事实直接针对本人攻击。
PS: 请不要随便锁贴，有图有真相的反应一个事实，无攻击及口水。
PS：请大家及斑竹都能够遵守版规，不做口水回复，不找借口关贴。

显示全部楼层 · 发表于 2012-3-9 13:58:41

本帖最后由 leisong 于 2012-3-9 14:00 编辑

过去近2年来，关于360主防漏洞的攻防贴言辞比这个要激烈得太多太多，漏洞大多很快就修补，官方看重的不是会员的言论有多激烈，而是漏洞本身。

但是金山的漏洞不敢做任何主观评价，不知官方看重的修补漏洞还是尽快封锁帖子和言论。。。。。。。。。。。。。。。。。。。。。。。。

显示全部楼层 · 发表于 2012-3-9 14:03:40

淡定围观，lx和谐评论

显示全部楼层 · 发表于 2012-3-9 14:11:15

本帖最后由 z13667152750 于 2012-3-9 14:14 编辑

其实dll加载漏洞,利用文件名和dll白名单就可以拦截所有已知的dll加载漏洞了

exe加载dll就是通过dll文件名来识别应该加载哪个dll的

这个漏洞就是exe没有对加载的dll进行验证,只要是对应文件名的dll就直接拿来加载了,没有验证是否是自己开发者发布的dll

,估计金山是采用已知可被利用的dll建立白名单,然后非白即黑吧

dll加载漏洞现在貌似也只能通过这种方法拦截了

不过这个很像XX病毒专杀的风格呀....

显示全部楼层 · 发表于 2012-3-9 14:12:03

本帖最后由十送鸿钧于 2012-3-9 14:13 编辑

文件名查杀吗……
希望只是权宜之计，尽早彻底解决吧，呵呵

显示全部楼层 · 发表于 2012-3-9 14:19:54

这帖会火要么被锁

如果换成360这样子估计会被高亮吧

支持楼主

显示全部楼层 · 发表于 2012-3-9 14:24:01

有点意思
不如直接来个利用这种方法，有可能赞成危害的样本更有说服力。
PS：这个主题貌似在金山版块才合适。

显示全部楼层 · 发表于 2012-3-9 14:24:54

文件名查杀也是方法之一,只是治标不治本.

显示全部楼层 · 发表于 2012-3-9 14:25:20

z13667152750 发表于 2012-3-9 14:11
其实dll加载漏洞,利用文件名和dll白名单就可以拦截所有已知的dll加载漏洞了

exe加载dll就是通过dll文件名 ...

这话说来容易啊。千千万万个应用型软件，所有已知的？很容易收集么？

貌似国外的白文件也一样可以利用啊，全世界的有正规签名的白文件都可以利用，和容易收集所有的么？

显示全部楼层 · 发表于 2012-3-9 14:26:30

本帖最后由 TTTAOa 于 2012-3-9 14:59 编辑

修改下原回复：
我说的猎豹慢，是对比老版本2011
然后在后台的扫描和升级时，老爷机小水管明显卡网……
所以我放弃了

这是我的情况，别的机子就不一定了

[金山] QQ黏虫的微特征+文件名拦截，通过结束QQ进程防御如果黏虫先运行怎么防？

本帖子中包含更多资源

评分