一个让国产杀毒集体无视的木马

z13667152750

00315 发表于 2012-5-15 09:46
你想的复杂了，其实就是病毒释放个fxsst.dll到explorer的同目录下，然后调用命令强制重启计算机，利用计 ...

那么你如何解释MD 和comodo均检测到生成了dl文件?

360杀的也是dl文件,360怎么可能将病毒文件名都弄错了?

金山拦截的也是对dll文件的修改,而不是dll文件的生成,所以我认为金山拦截的就是dl文件改名为dll文件这一步

00315

z13667152750 发表于 2012-5-15 19:17
那么你如何解释MD 和comodo均检测到生成了dl文件?

360杀的也是dl文件,360怎么可能将病毒文件名都弄错 ...

我都说过多少次了，你跑一下什么都清楚了。

584208730

看了楼上的分析。。。看不懂啊。。。但小A报毒了

z13667152750

00315 发表于 2012-5-15 19:32
我都说过多少次了，你跑一下什么都清楚了。

结合我在另一个帖子的讨论,再看看22楼bootloader承认过360主防的说法

你应该知道360云端交互拦截的确实是dll释放了吧

而这个样本就是故意释放dl文件,然后改名为dll文件来过360云端交互的

00315

z13667152750 发表于 2012-5-15 22:29
结合我在另一个帖子的讨论,再看看22楼bootloader承认过360主防的说法

你应该知道360云端交互拦截的确 ...

你测试也不测试就凭想想说啊，先释放dl然后改为dll过主防的说法，是不是太牵强了，用txt不是更好？亲身测试然后发言。

z13667152750

00315 发表于 2012-5-15 22:46
你测试也不测试就凭想想说啊，先释放dl然后改为dll过主防的说法，是不是太牵强了，用txt不是更好？亲身测 ...

我相信前面两人的hips日志

360云端交互以前只监控dll的释放,没有管dl的释放,改成txt再改成dll当然也可以,但是现在360已经修复该问题了

我以前就说过,我个人并不认为360的云端交互属于主防拦截,因为拦截的并不是常规意义上的行为

z13667152750

00315 发表于 2012-5-15 22:46
你测试也不测试就凭想想说啊，先释放dl然后改为dll过主防的说法，是不是太牵强了，用txt不是更好？亲身测 ...

http://camas.comodo.com/cgi-bin/ ... b397a0d0fff4f3c5ad4

http://anubis.iseclab.org/?actio ... 094a56da3bb7247a31d

原想看看国外在线分析的结果,算了,就算改成静默自解压文件,国外的在线分析还是无法运行...

z13667152750

00315 发表于 2012-5-15 22:46
你测试也不测试就凭想想说啊，先释放dl然后改为dll过主防的说法，是不是太牵强了，用txt不是更好？亲身测 ...

想看测试的话,请看此贴:http://bbs.kafan.cn/thread-1289047-1-1.html

122693882

管家 下载的时候就报了

聆听落雨

大蜘蛛直接无视，火绒HIPS直接没反应，实机运行，就是短时间占用大量内存和CPU，对电脑没有损坏