火绒今天的升级之一：针对未知病毒，木马拦截进行了些加强，感谢sanhu35等朋友！

china_killer

    还是白加黑类的病毒攻击，我们说一个比较有意思的样本：

   它不但有效的利用了，白程序进行攻击（避开一般的主防御拦截）。还将自己的攻击代码进行了加密，
在白程序加载时解密病毒模块代码到内存块中，来躲避杀毒软件的文件查杀增加攻击的成攻率。。

样本包含三个文件。
其中“StartMenu.exe”是一个包含正常数字签名的文件。
它会加载FastMenuDll.dll这个动态库，而FastMenuDll.dll运行时会以将456login.dll中的代码解密执行。
466login.dll 是被加密的病毒攻击模块。
这是从FastMenuDll.dll中反汇编的解密，加载代码：

加载病毒攻击模块以后：
它产生了一些怪异的动作。以下是拿火绒的诊断工具看到的动作：

这个程序跟360没什么关系，却出现了跟360相关的操作。双击查看这个动作的详细信息，在调用栈上可以看到发起调用的代码在一块不属于任何模块的内存中。


到进程页，找到对应的内存块，提取字符串。
粗略判断，这块代码很可能具有键盘记录的功能。时间问题，详细的代码分析我就不写了，有兴趣的朋友可以详细看看它都干了些什么。


以上样本来源于：
https://att.kafan.cn/forum.php?mo ... DU0NDYyMnwxMzU0OTA4

   新版火绒已经改进了“未知木马拦截”的启发引擎，现在已经可以对类似攻击模式的白加黑木马进行拦截了。
还有sanhu35在火绒论坛里提供的两个白加黑木马，机制类似，现在也可以拦截了。
http://www.huorong.cn/bbs2/viewtopic.php?f=9&t=101




  感谢朋友们对火绒的支持，在使用中如果发现有样本过火绒的，欢迎大家给我们提交。。我们会尽快改进升级
让大家享受到更好的安全防御能力。
www.huorong.cn

windows7

支持 我是沙发。火绒越来越稳定了哈

jone_jys

沙发，顶起。。。。

EAGLE-16號

来支持一下火绒

BootMgr

继上次搞笑的驱动故障分析水平后，我又看了火绒团队令人捧腹的病毒分析能力，太囧了

创建了\360\360安全中心这个原来根本不存在的目录，就叫“跟360相关的操作”了？  

我创建下QQ\马化腾秘书姐姐\这个目录，是不是就是“跟腾讯公司相关的操作” 了？

zhaokai2012

不知什么时候升级呢

对你说

更新挺快嘛

china_killer

BootMgr 发表于 2012-8-22 13:41
继上次搞笑的驱动故障分析水平后，我又看了火绒团队令人捧腹的病毒分析能力，太囧了， 操作了\360\360安全中 ...

原文是说这个：

这个程序跟360没什么关系，却出现了跟360相关的操作。双击查看这个动作的详细信息，在调用栈上可以看到发起调用的代码在一块不属于任何模块的内存中。


为什么喜欢短章取义呢？

BootMgr

china_killer 发表于 2012-8-22 13:42
原文是说这个：

这个程序跟360没什么关系，却出现了跟360相关的操作。双击查看这个动作的详细信息，在 ...

“却出现了跟360相关的操作”你给我解释下着是什么意思？ 创建一个带360名字的目录就“跟360相关的操作"?

我哪里断章取义了？说你的病毒分析能力令人捧腹打击到了你CTO同学？ 正常的病毒分析至少应该这么说吧：

“这个程序跟360没什么关系，却创建了一个伪装360的目录”

另外什么叫喜欢断章取义？说你上次搞笑的驱动故障分析是断章取义了？分析病毒一个星期前的老病毒就好好分析，别天天傍着别人上位

kf二月鸟

嫉妒人不少，帮组的人不多