456远控，高质量欢迎测试（8月13号第⑦次更新）now，to or kill？

BootMgr

Flameocean 发表于 2012-8-10 02:37
楼主更新了这个远控木马，360主防无法拦截
依次安装，主防没有任何提示，在另外一台电脑单独安装防火墙使 ...

楼主的那个还是9号下午的啊，哪里更新了，你搞错了吧。

SkinModuleChs.dll这个还是9号的啊，可以拦截的，安装的时候当然不拦截啊，运行的时候就拦截杀掉了，而且你云查杀都显示这个DLL被杀了，怎么可能是新的～

zst470396853

Flameocean 发表于 2012-8-10 02:37
楼主更新了这个远控木马，360主防无法拦截
依次安装，主防没有任何提示，在另外一台电脑单独安装防火墙使 ...

大牛的意思啊  这样本运行完成后 运行桌面图标后 拦截黑DLL 这样既可以修复样本 也不会被黑客攻击


360拦截清楚后  在运行样本 可正常上号游戏




PS 金山K+也拦截了(在安装的中途就拦截了 不过对于一般用户而言 用户有可能看不懂提示放行 因为他想玩游戏) 我是关闭金山之后测试的360

      所以对于一般用户而言 更倾心与360的拦截  删除黑DLL之后 可以正常游戏体验(呵呵 不过要是360在给出提示 病毒已经删除 可正常游戏  那就更好了

      因为可能看见报毒 就删除 不玩了    我想手动删除 还删除不鸟  360软件管家和控制面板都找不到删除的位置  手动删除了安装路劲的文件

rsin

尘梦幽然 发表于 2012-8-9 19:30
木马团伙不管盯上哪个安软厂商都能过得了好不？
这批样本我回头和铁壳官人交流一下看一下SONAR拦截是国内 ...

别生气，我只是说国内铁壳比较小众。而且你说的也没错

rsin

BootMgr 发表于 2012-8-9 16:50
你那都是好久的老黄历了啊，要用发展的眼光看事物哦。

还说我，你们每次主防的对抗升级都不说...............我们怎么知道

rsin

BootMgr 发表于 2012-8-9 17:55
废话，你删了 lobby.exe 他还不能注入呢，不好好分析还在这里给我狡辩，替你的BOSS打你PP哦～

那个样本在sandboxie里面运行360会拦截吗

rsin

BootMgr 发表于 2012-8-9 18:01
用户选择清除DLL后，再启动游戏大厅就可以正常地玩游戏了，真真正正完美拦截、完美体验

他这一已经注入 ...

已更新

BootMgr

rsin 发表于 2012-8-10 10:33
已更新

10号样本1：

拦截劫持快捷方式的。



样本2

白利用拦截了



一会再去试试其他的拦截～

BootMgr

这个机器上的360版本太老，更新了一把测ND：

1号样本，免杀后，ND联网拦截





2号样本，免杀后，全局DLL劫持拦截和ND联网拦截

284678343

To Kaspersky

火眼报告：
1.exe - http://fireeye.ijinshan.com/anal ... 6ddb22ba1490b6274f8
2.exe - http://fireeye.ijinshan.com/anal ... c602add4f1cc4bc0340

00315

1号没得玩，就是一个在LNK上做点文章直接启动病毒UpdatLobby.exe 360图标那个是障眼法，和样本那没关系
2号有意思，要运行须有这些文件，具体哪个都是病毒，得专业人员了