456远控，高质量欢迎测试（8月13号第⑦次更新）now，to or kill？

XMonster

BootMgr 发表于 2012-8-9 17:55
废话，你删了 lobby.exe 他还不能注入呢，不好好分析还在这里给我狡辩，替你的BOSS打你PP哦～

加黑IP...

BootMgr

XMonster 发表于 2012-8-9 17:59
加黑IP...

用户选择清除DLL后，再启动游戏大厅就可以正常地玩游戏了，真真正正完美拦截、完美体验

他这一已经注入EXPLORER服务都创建了K+主防整个完败了，图都给他了都没分析好的居然还给我狡辩～

XMonster

BootMgr 发表于 2012-8-9 18:01
用户选择清除DLL后，再启动游戏大厅就可以正常地玩游戏了，真真正正完美拦截、完美体验

他这一已经注入 ...

照理说K+能拦截注入EXPLORER服务吧,为嘛拦截不了呢?

BootMgr

XMonster 发表于 2012-8-9 18:15
照理说K+能拦截注入EXPLORER服务吧,为嘛拦截不了呢?

因为是白的所以放了吧，没有检测加载的DLL

00315

XMonster 发表于 2012-8-9 18:15
照理说K+能拦截注入EXPLORER服务吧,为嘛拦截不了呢?

毒霸没有拦截注入是没有识别dll，不过防黑墙可以拦截，并不是什么加黑IP，你楼下的大牛太可笑了，居然不知道样本是怎么运行的

BootMgr

00315 发表于 2012-8-9 18:20
毒霸没有拦截注入是没有识别dll，不过防黑墙可以拦截，并不是什么加黑IP，你楼下的大牛太可笑了，居然不知 ...

唉，被注入了，理解成softkey.dat 的完败方，还在这里狡辩～真是无语了～

都注入了K+都完败了，防黑墙再拦截一百遍都是白搭，重启你还拦截得了吗？你清除得了吗？你能让那玩意不要每次启动大厅每次都注入EXPLORER吗？每次都弹出EXPLORER联网你还有脸说可以拦截，太搞笑了。

不是拉黑IP也是类似，协议加个密你能拦截吗？传个密码你能拦截吗？发句HELLO你能拦截吗？更不用说这防黑墙只是拦截个毫无用处的表面了

00315

BootMgr 发表于 2012-8-9 18:46
唉，被注入了，理解成softkey.dat 的完败方，还在这里狡辩～真是无语了～

都注入了K+都完败了，防黑 ...

可爱的大牛算了吧，你也不用跟着楼主帖子跑，等你把百度456游戏大厅下载，前15页的假冒安装包都统统的过一遍，去认认真真的了解下360的防御情况，比在这里装胖好，或者让你们的工程师好好分析下样本是怎么运行的，你以为只是那个dll在起作用？算了，对大牛失望了，就当是我搞错了吧..无语....

BootMgr

00315 发表于 2012-8-9 18:58
可爱的大牛算了吧，你也不用跟着楼主帖子跑，等你把百度456游戏大厅下载，前15页的假冒安装包都统统的过一 ...

行了，分析不出来是哪个模块你也不用故作玄虚，只要知道360一上来就清理了这里面的恶意内容，完美拦截+完美体验就够了，连这点都说不通就在这里装～

你觉得没意义可以不用跟着楼主的帖子跑，你可以去你的百度玩，然后顺便想想为啥随便注入一下K+就完败了，防黑墙没人重视你免杀你就觉得完事了等等问题，或者老老实实来这里看过金山的样本

尘梦幽然

rsin 发表于 2012-8-8 16:57
主要是木马团伙没盯上这个小众杀软。否则怎么可能不过.

木马团伙不管盯上哪个安软厂商都能过得了好不？
这批样本我回头和铁壳官人交流一下看一下SONAR拦截是国内样本导致行为特征入库还是说正好有国外样本行为类似。
可以肯定的是这个系列的木马行为特征不好提取。

Flameocean

BootMgr 发表于 2012-8-9 18:01
用户选择清除DLL后，再启动游戏大厅就可以正常地玩游戏了，真真正正完美拦截、完美体验

他这一已经注入 ...

楼主更新了这个远控木马，360主防无法拦截
依次安装，主防没有任何提示，在另外一台电脑单独安装防火墙使用这个样本提示此时DELL已经注入了EXPLOR进程

，




360主防对新样本无法拦截，然后在查杀后出现
这次应该是被过了