WIOffice.dll 内有穿越人士神论出现，请速度围观

a256886572008

疾驰 发表于 2013-1-31 08:55
直接告诉我，一个dll如何发作？

(1) regsvr32.exe "DLL文件路徑"

(2) rundll32.exe "DLL文件路徑" 命令行

這兩種方式，可依靠單一DLL完成，不需要EXE。

疾驰

zst470396853 发表于 2013-1-31 02:49
现在查不到  不代表明天 你那上面所谓的全世界的杀软  还杀不到。。。

别拿qvm说事，别人启发都是渣？
如果明天有人报，那叫入库，有的可能入，有的不会入，看厂商态度。你下周到多引擎上扫扫，看有几个入的。
白和黑在一起才有危害。认为单个dll有危害，是忽略了真实环境。好好想想。

疾驰

a256886572008 发表于 2013-1-31 09:01
(1) regsvr32.exe "DLL文件路徑"

(2) rundll32.exe "DLL文件路徑" 命令行

这不结了，双击没有危害。
哪个用户会用你这种办法非要让自己中招？
跟用户拿铁锤砸自己电脑有什么区别？

avoyoo

有没有想过。
会有莫名其妙的人将该dll改名为部分不验证dll的正常的签名软件启动或者功能性需求必须启动的dll。
然后......
然后，你就知道了......

或者某些莫名其妙的人直接创建快捷方式，更改图标为欺骗性图标，更改后缀为欺骗性后缀，将该dll和lnk一起发送，然后欺骗点击，在点击之前，二者都是查不出来的。

分都是刷出来的咩？

疾驰

avoyoo 发表于 2013-1-31 09:25
有没有想过。
会有莫名其妙的人将该dll改名为部分不验证dll的正常的签名软件启动或者功能性需求必须启动的 ...

你这种解释太脱离实际了。那么铁锤也应该被杀软入库，因为会有莫名其妙的人拿去砸电脑。。

870097067

怎麼感覺有人是來吵架的??

avoyoo

好吧。
信息安全，源自瑞星。

疾驰

870097067 发表于 2013-1-31 09:37
怎麼感覺有人是來吵架的??

我不想在此贴来回争辩，只是否定此样本。
dll可以携带完整的木马功能，但它不能独立运行，需要程序调用。
即便dll为黑，也需要调用exe才能触发，单独一个dll，不能双击，不能单独运行，就不应该单独视其为病毒。
将dll入库，是个别厂商基于查杀率的考虑，不必草木皆兵。

a256886572008

疾驰 发表于 2013-1-31 09:51
我不想在此贴来回争辩，只是否定此样本。
dll可以携带完整的木马功能，但它不能独立运行，需要程序调用。 ...

掛馬網站可利用 11樓的命令，直接後台下載啟動單一DLL作壞事。

進程名稱就是 regsvr32.exe 或是 rundll32.exe。

這種方式能穿破一些 主防。

疾驰

avoyoo 发表于 2013-1-31 09:48
好吧。
信息安全，源自瑞星。

对于拿不出有效理由就来侮辱厂商的负有魅力的人，我好仰视你喔