网购木马（十三）

yhjtj

z13667152750 发表于 2012-4-1 12:53
需要网盾配合即可拦截

还有说多少次，网盾不支持淘宝的推荐浏览器，搜狗
遨游也不支持
淘宝推荐的浏览器是搜狗，而搜狗360不拦截的
这是我昨天回复你的，你又再次选择性失忆么？

我知道，所以有漏洞可以钻啊，骗子的手段是多样的。
下面举个例子：
卖家说，我这个浏览器好慢啊，打开宝贝半天，你用的什么啊
买家说，搜狗啊，搜狗是淘宝推荐的浏览器啊
卖家说，哦，我这里网络不行，旺旺传输速度慢，我把实物图片地址发给你，你下载吧（一个网盘等地址）
买家说，好的，搜狗下载后，360未拦截，双击，还是未拦截，果断悲剧了。

z13667152750

yhjtj 发表于 2012-4-1 12:55
还有说多少次，网盾不支持淘宝的推荐浏览器，搜狗
遨游也不支持
淘宝推荐的浏览器是搜狗，而搜狗360不拦 ...

所以我前面说了,有可被利用的漏洞,云端升级后就不存在漏洞了

化石MM

用了360的数字签名了么？不过话说这样的介绍，只有十足的小白会去双击打开，一个要靠dll文件来发作的低等病毒

郑伟用户

夜ㄝ殇 发表于 2012-4-1 12:29
问下，ksc现在完全接入实时监控和查杀了么??

你不是体验联盟的吗，这个你不知道？

郑伟用户

yhjtj 发表于 2012-4-1 12:41
再不拦截，就不用出来混了！
每次新的加载程序出现后，都是后知后觉的拦截，这下你该承认了吧
要不然， ...

哈哈，那个不是什么互交问题，是主防拦截不稳定，K+刚出来时也有类似现象----不过现在好多了。

z13667152750

郑伟用户 发表于 2012-4-1 13:44
哈哈，那个不是什么互交问题，是主防拦截不稳定，K+刚出来时也有类似现象----不过现在好多了。

mj的解释是,这个样本特殊性导致360新采用的导致云端交互失效

其实很好理解,这个白exe有360签名,所以很可能由于某些本地规则优先与云端交互规则,导致云端交互的拦截方式失效

必须依靠以前的拦截方式(即需要网盾协同)才可以拦截

yhjtj

z13667152750 发表于 2012-4-1 12:57
所以我前面说了,有可被利用的漏洞,云端升级后就不存在漏洞了

先有漏洞，木马利用，360后升级而已
这有什么可以夸耀的呢

夜ㄝ殇

郑伟用户 发表于 2012-4-1 13:42
你不是体验联盟的吗，这个你不知道？

最近忙着工作，不大记得勒。晕。。

lbb9432

z13667152750

yhjtj 发表于 2012-4-1 13:53
先有漏洞，木马利用，360后升级而已
这有什么可以夸耀的呢

我没因此夸耀过360主防

不过从这个样本可以看出一些其他的东西:自从360使用新的云端交互策略后,白加黑样本不需网盾联动即可拦截,在病毒作者找到方法规避云端交互拦截前,无法免杀,因此病毒作者又找到了利用360本地主防规则对360签名的高度信任变相绕过云端交互,然后360又通过升级改变本地规则.

我猜测接下来的对抗就是病毒作者终于发现360现有的云端交互拦截策略是什么,然后针对性免杀,然后360继续换新的云端交互策略拦截,一直循环.

但是不管如何,360利用网盾联动拦截是一直有效的,最好的解决方法是让网盾对浏览器的支持更加广泛或者可以不依赖网盾和云端交互直接拦截