网购木马（十三）

【乱】

UDady 发表于 2012-4-1 08:03
看日志是云不是ksc，楼主要大家测的主防

因为主楼也说了 两家报毒 金山在内
金山监控会自动删 关了铠甲就没法测 所以只能测Q管 结果悲剧~

[2012-03-31 21:05:48] 手动杀毒 病毒木马:C:\ScreenWB.exe HEUR.KSC.30.71516d 清除

360技师

NOD32miss，360依然强悍

ly859774502

哪2家报毒？

郑伟用户

z13667152750 发表于 2012-4-1 13:49
mj的解释是,这个样本特殊性导致360新采用的导致云端交互失效

其实很好理解,这个白exe有360签名,所以很 ...

这个根本不是样本的什么特殊性，几个月前的样本也会出现网盾杀主防不拦截现象，这个问题明显于主防的防御策略和稳定性的问题，只不过360官方一直在逃避这个问题而已。当初我们k+也有此类现象，不过官人虚心接受建议，现已经修正。

z13667152750

郑伟用户 发表于 2012-4-1 16:40
这个根本不是样本的什么特殊性，几个月前的样本也会出现网盾杀主防不拦截现象，这个问题明显于主防的防御 ...

以前只能依靠网盾联动拦截,现在新采用的云端交互拦截策略不需要网盾参与

这个样本利用360对360签名的本地信任规则规避了云端交互策略,但是依然可以依靠网盾联动的主防来拦截

360更新本地规则后,云端交互规则再次生效

LockeHIPS

郑伟用户 发表于 2012-4-1 16:40
这个根本不是样本的什么特殊性，几个月前的样本也会出现网盾杀主防不拦截现象，这个问题明显于主防的防御 ...

K+对付白+黑还停留在拉黑DLL+升级本地规则的地步，就连升级都慢慢吞吞，跟360云主防现在完全云端防御瞬间全网防御根本就不是一个等级的。

刚看了下，就不比云端瞬间防御的白+黑样本，比这个是欺负金山，就比”十三“这个利用360处理机制上一个问题导致无法云端防御的样本，360本地防御的功能昨天就已经开始全面升级了，今天下午已经开始升级彻底解决机制问题的版本了

金山呢？直到今天下午6点多才慢慢悠悠扔出去一个可以本地防御不靠拉黑拦截的版本，这速度啊，没法比。

看来比速度还是欺负金山，就不说机制上的优越性和速度问题，现在白+黑每天出来10种左右，因为360云范围广，所以每个都能拦截，金山现在拦截的完全仅限于卡饭上反馈出来的样本，到现在除了卡饭上反馈的白+黑其他的白+黑就没看到金山主防能拦几个的，敢情全靠楼主呢，就不比机制上谁更快，拼已经出来的白+黑都差着10倍远呢。


拿K+和云主防比稳定性和防御策略，今天是愚人节，我懂的，哈哈 哈哈 哈哈哈

guidanba

LockeHIPS 发表于 2012-4-1 19:04
K+对付白+黑还停留在拉黑DLL+升级本地规则的地步，就连升级都慢慢吞吞，跟360云主防现在完全云端防御瞬 ...

大牛，你这是爆发了吗？。继续期待360的表现。

wjcharles

z13667152750 发表于 2012-4-1 15:39
我没因此夸耀过360主防

不过从这个样本可以看出一些其他的东西:自从360使用新的云端交互策略后,白加 ...

天下武功，无坚不摧，唯快不破
云的精髓之一就是“快”，从文件一般特征，到QVM特征再到主防策略（逻辑），只要入库升级速度够快，一切威胁都是浮云，这也是国内安软的优势所在
计较最初几个用户的得失与，相对因此而获得保护的庞大用户群体来说，实在没有必要

郑伟用户

LockeHIPS 发表于 2012-4-1 19:04
K+对付白+黑还停留在拉黑DLL+升级本地规则的地步，就连升级都慢慢吞吞，跟360云主防现在完全云端防御瞬 ...

这种样本，金山一个月前就通杀了，MJ你催牛的毛病还不改啊

z13667152750

郑伟用户 发表于 2012-4-1 23:26
这种样本，金山一个月前就通杀了，MJ你催牛的毛病还不改啊

他真的不是吹牛,目前360采用的云端交互拦截策略效果非常好

即使是这个样本,如果不是因为有360签名,因为本地规则优先的原因,也不会绕过云端交互

这个样本没有真正绕过360目前采用的云端交互策略,只是利用了本地规则的漏洞

等我以后公开云端交互的策略,你就知道mj以及我为什么这么自信现有的所有白加黑样本全部都会这种策略被拦截

其实这种云端交互真的非常简单且有效