网购木马（三 一）

z13667152750

yhjtj 发表于 2012-4-15 21:40
为什么运行报白文件为木马病毒，扫描却可以准确的报出dll为病毒呢？
就是说既然知道那个文件是病毒，为什 ...

报白的是云端交互拦截,即使不能识别黑dll也可以拦截,而且也不会造成对正常使用的白文件的误报

yhjtj

LockeHIPS 发表于 2012-4-15 21:54
报DLL是因为已经识别DLL了，而杀白即便对于未识别的DLL一样可以杀，比如木马作者刚免杀了DLL，高高兴兴 ...

你说的=杀白就是为了图省事，一了百了
杀白也是为了防止木马作者继续研究这个dll的免杀，来过360，你这样搞等于堵住他一个系列的。

不过这世界上有数字签名的程序多的无法计数，其中对dll没有校验的，也会很多，可以说是一个大宝藏。（连360.cn的数字签名都被利用了，呵呵）
360怎么提前拦截未知的白利用呢？通过个人电脑运行捕获么？（虽然总的群体保护住了，但这样必然有最早的牺牲者，牺牲者数量和云端的分析和传达升级能力成正比）

LockeHIPS

yhjtj 发表于 2012-4-15 22:03
你说的=杀白就是为了图省事，一了百了
杀白也是为了防止木马作者继续研究这个dll的免杀，来过360，你这样 ...

木马作者也会安装360并测试白加黑，此时就可以进行云端分析了，这也是为什么我们捕获总比楼主早的原因。

更何况我们还有压缩包联动和很多还没上线的新功能，可以一次性解决白利用外网问题而不是靠分析白利用

yhjtj

LockeHIPS 发表于 2012-4-15 22:06
木马作者也会安装360并研究白加黑，此时就可以进行云端分析了，这也是为什么我们捕获总比楼主早的原因。 ...

也就是说就算双击木马后，选择了不上传，文件还是会被上传咯？（木马作者当然不会傻到上传的，对吧？）

留侯

依旧过了大蜘蛛，文件加了壳：
MxCrashCatch.dll - packed by FLY-CODE
MxCrashCatch.dll is BINARYRES container
MxCrashCatch.dll\data001 is ZLIB container
已上报！

guidanba

LockeHIPS 发表于 2012-4-15 22:06
木马作者也会安装360并测试白加黑，此时就可以进行云端分析了，这也是为什么我们捕获总比楼主早的原因。 ...

期待很多还没上线的新功能尽快上线，

yhjtj

LockeHIPS 发表于 2012-4-15 22:06
木马作者也会安装360并测试白加黑，此时就可以进行云端分析了，这也是为什么我们捕获总比楼主早的原因。 ...

压缩包这个，我上面发的测试图，木马包报的是安全，是不是可以理解，压缩包联动被过了？

郑伟用户

yhjtj 发表于 2012-4-15 21:40
为什么运行报白文件为木马病毒，扫描却可以准确的报出dll为病毒呢？
就是说既然知道那个文件是病毒，为什 ...

其实另一个理解就是故意报白文件看似是行为报毒，后面360工作人员也说了，因为作者在做免杀测试时候360云端就已经捕获，仔细分析这些话吧，呵呵。

yhjtj

郑伟用户 发表于 2012-4-15 22:15
其实另一个理解就是故意报白文件看似是行为报毒，后面360工作人员也说了，因为作者在做免杀测试时候360云 ...

我一直理解为，360就是故意报白文件的，堵住病毒作者免杀360的这一条白利用的路
我后面也说了，世上程序无数，堵住了一条还有千万条，光通过堵路，看似效率高，但其实没有主防报行为解决，来的根本。

z13667152750

yhjtj 发表于 2012-4-15 22:08
也就是说就算双击木马后，选择了不上传，文件还是会被上传咯？（木马作者当然不会傻到上传的，对吧？）

很可能上传的不是文件