网购木马（十八）

xiuzhiguo

额用卡巴的hips走了一遍。。。反复连接新浪，，不会是盗取新浪账号的？

sxyuqiao

LockeHIPS 发表于 2012-4-4 13:53
拉黑了啊，真慢啊，看前面的楼吧，什么时候不要总被老样本全自动免杀再来仰视全球最强，唯一能秒杀白加 ...

heur没看到啊

拉黑之后然后在卡饭说“老早可以查杀，LZ你的网络有问题吧”这种可是您的行为，我哪里敢这么做？

2个源文件没有报毒，报的是执行文件，这还叫拉黑？ 右键扫描DLL和测试文件全部显白，倒是某3在卡饭一个同学的连番轰炸下，出现了白文件报黑的这种事情

全自动免杀

http://bbs.kafan.cn/thread-1260331-1-1.html

去看看这个样本吧

LockeHIPS

sxyuqiao 发表于 2012-4-4 13:56
heur没看到啊

拉黑之后然后在卡饭说“老早可以查杀，LZ你的网络有问题吧”这种可是您的行为，我哪里敢 ...

全自动免杀只有金山的伪特征能实现啊，一年前就有了到现在也还能全自动啊
继续看吧，楼主再发样本金山还是防杀不能啊，两位论坛值班同学说穿了嘴金山也还是只有拉黑和慢吞吞的本地规则而已

对了话说这个白加黑还是傅总几年前得意洋洋现在完全没了的可牛啊，不知道前可牛员工看到这个是怎么样的泪流满面啊

sxyuqiao

Palkia 发表于 2012-4-4 13:16

下面那个是无害白文件
白+黑的攻击样本
dll文件会在白签名文件运行后在指定位置释放攻击程序

所以说管家其实也没报错

LockeHIPS

sxyuqiao 发表于 2012-4-4 14:02
下面那个是无害白文件
白+黑的攻击样本
dll文件会在白签名文件运行后在指定位置释放攻击程序

黑dll都报安全了还没报错？多学习学习再来替金山值班拉黑吧小心拉错了哦

LockeHIPS

对了话说这个白加黑还是傅总几年前得意洋洋现在完全没了的可牛啊，不知道前可牛员工看到这个是怎么样的泪流满面啊

====

话说刚才傅总的另一个软件又被利用了，金山全被过了拉黑不能啊，主要是因为楼主没发样本上来，楼主现在是金山拉黑白加黑的唯一来源啊

sxyuqiao

LockeHIPS 发表于 2012-4-4 14:01
全自动免杀只有金山的伪特征能实现啊，一年前就有了到现在也还能全自动啊
继续看吧，楼主再发样本金山 ...

过金山的样本固然有，金山也一直在完善拦截规则
你有空也关注一下过360的样本和360云端海量的灰样本吧
拉黑的时候能够联动都被您说得这么忽悠，

不过当然，金山云端框架确实得整修了，云端交互规则确实还停留在360的上个版本

不和你扯了，我做作业了

LockeHIPS

sxyuqiao 发表于 2012-4-4 14:07
过金山的样本固然有，金山也一直在完善拦截规则
你有空也关注一下过360的样本和360云端海量的灰样本吧
...

360云端交互拦截跟拉黑一点关系都没有，更不象金山老样本总被免杀，当然没什么好忽悠的，目前的交互拦截还是一年多以前的云主防2.0的老技术了，就是领先金山什么的两三年而已

金山是没灰样本，灰的全都安全了，笑死人，更别说无限可再生的全自动免杀金山伪特征体系的样本

值班吧拉黑吧，扯别的没用，你也不可能帮金山改造它落后的系统

FXA8

ESET miss

lbb9432

BD运行没反应