一个让国产杀毒集体无视的木马

显示全部楼层 · 发表于 2012-5-14 21:38:53

本帖最后由 z13667152750 于 2012-5-14 21:41 编辑

00315 发表于 2012-5-14 21:37
我从来不怎么信任360

49楼comodo的日志也可以看到修改dl文件的行为

显示全部楼层 · 发表于 2012-5-14 21:40:38

z13667152750 发表于 2012-5-14 21:37
金山拦截的是修改dll文件,而不是创建dll文件

对，如果k+拦截创建的话，那会可能会影响系统性能，况且那是文件监控工作，不过还有改进空间。

显示全部楼层 · 发表于 2012-5-14 21:50:22

z13667152750 发表于 2012-5-14 21:38
49楼comodo的日志也可以看到修改dl文件的行为

看下火眼报告到底是dll还是dl
https://fireeye.ijinshan.com/analyse.html?md5=254c181ad50a6f7df751cc30b8e1f4c7

显示全部楼层 · 发表于 2012-5-14 21:56:58

本帖最后由 z13667152750 于 2012-5-14 21:58 编辑

00315 发表于 2012-5-14 21:50
看下火眼报告到底是dll还是dl
https://fireeye.ijinshan.com/ana ... 181ad50a6f7df751cc3 ...

comodo和MD的日志均说明有生成dl文件的行为,但是运行样本后dl文件却消失,只有dll文件存在
bootloader的文件改名说法非常符合这种情况
360和金山的拦截提示也从侧面说明了这一点

你的火眼日志在我看来,说明的是火眼显示的结果并不是完全按照行为得出的,而是经过样本运行前后进行环境对比得出的

显示全部楼层 · 发表于 2012-5-14 22:15:24

z13667152750 发表于 2012-5-14 21:56
comodo和MD的日志均说明有生成dl文件的行为,但是运行样本后dl文件却消失,只有dll文件存在
bootloader的 ...

你在comodo日志中发现提到dll没有？亲测一下你不就什么也清楚了

显示全部楼层 · 发表于 2012-5-14 22:48:17

本帖最后由 z13667152750 于 2012-5-14 22:52 编辑

00315 发表于 2012-5-14 22:15
你在comodo日志中发现提到dll没有？亲测一下你不就什么也清楚了

没有提到dll正好符合我的说法,因为dll文件是dl文件改名来的,不是直接释放的

病毒故意这样做看来就是为了过360的云端交互拦截

直接在windows目录释放dll文件是非常可疑的行为,先释放dl文件再改名为dll就很猥琐了

显示全部楼层 · 发表于 2012-5-15 09:46:09

z13667152750 发表于 2012-5-14 22:48
没有提到dll正好符合我的说法,因为dll文件是dl文件改名来的,不是直接释放的

病毒故意这样做看来就是 ...

你想的复杂了，其实就是病毒释放个fxsst.dll到explorer的同目录下，然后调用命令强制重启计算机，利用计算机的重启，让explorer自动加载fxsst.dll，这时候无论360还是金山主防御都是没有其作用的，况且就算起作用，谁去验证每个进程加载的dll----注意性能，木马不是神，杀毒软件也不是神....和用不用把dl改为dll来过防御没有什么关系，你自己可以在MD下跑行为看看

显示全部楼层 · 发表于 2012-5-15 12:57:39

红伞拦截

显示全部楼层 · 发表于 2012-5-15 14:44:02

本帖最后由老虎猫于 2012-5-15 15:23 编辑

z13667152750 发表于 2012-5-14 21:38
49楼comodo的日志也可以看到修改dl文件的行为

呵呵，这句话说对了！好多360提示的拦截未必真能拦截住的！照样在系统生成，他能杀的毒，也就都是通过先中了毒然后上报上去的！第一时间对抵御新病毒，那叫一个字！弱这方面金山比他强太多了。这是一个经历，我先玩过360，双击后，说了拦截。结果TNND 系统生成了好多。所以换玩COMODO了。MD 太难看不喜欢。

显示全部楼层 · 发表于 2012-5-15 15:06:04

http://sample.eset.com.cn/index. ... dc9b53ce67d1c3b5a16

[可疑文件] 一个让国产杀毒集体无视的木马