再次敦促火绒重视后门类程序的监测。。。再次提供三个样本请官人高度重视！！！

flyinbed

jefffire 发表于 2013-5-23 21:08
http://bbs.kafan.cn/thread-1208353-1-1.html

两个字"呵呵"

从头看到低没看到这帖子能说明什么
还你“呵呵”
顺便友情提醒，夜路走多了 早晚会碰到鬼的

li13911

vm001 发表于 2013-5-23 21:18
至于做什么什么动作可以用软件监控下，如果动作明显的，火绒不会不拦截，而且这几个也没有什么特殊的..
...

就是这个动作，还注入了explorer。火绒针对卡饭的样本啦，现在无论是粘虫、白加黑、后门，好多直接就报恶意软件的。

又运行了一次，有意思，注入后的explorer，病毒的动作和第一次运行的时候完全不一样啦。

vm001

li13911 发表于 2013-5-23 21:30
就是这个动作，还注入了explorer。火绒针对卡饭的样本啦，现在无论是粘虫、白加黑、后门，好多直接就报恶 ...

注入explorer不可能火绒不拦截
而且注入explorer不是病毒固有的行为

jefffire

flyinbed 发表于 2013-5-23 21:30
从头看到低没看到这帖子能说明什么
还你“呵呵”
顺便友情提醒，夜路走多了 早晚会碰到鬼的

哎 ,这理解能力.
只能继续"呵呵"了.
顺便提醒一句,  河边走多了,早晚会湿鞋的.

li13911

win98sp123 发表于 2013-5-23 21:19
更新这么快啊，我2个小时前刚发的帖子，然后上传的样本。。。

补充：

这个拦截还是和微点的拦截不一样，病毒的这些动作是在试图联网之后才做的，微点是在联网前拦截的。其实病毒是往敏感目录释放自己触发了火绒，这个时候已经注入exploer了，如果自己联网不成功会让explorer联网，explorer联网不成功下次运行的时候会直接注入让services.exe联网的，火绒写的推荐！！火绒从1.0.49升级到1.0.50的时候间隔了个周末外加周一，就是加入了这些恶意动作。

vm001

jefffire 发表于 2013-5-23 21:35
哎 ,这理解能力.
只能继续"呵呵"了.
顺便提醒一句,  河边走多了,早晚会湿鞋的.

算了，你还没看出来，人家说不上来就要给坐地上搓脚丫子了

yaoogle007

win98sp123 发表于 2013-5-23 21:19
更新这么快啊，我2个小时前刚发的帖子，然后上传的样本。。。

补充：

给力了。。。

jefffire

vm001 发表于 2013-5-23 21:40
算了，你还没看出来，人家说不上来就要给坐地上搓脚丫子了

原来人家还有这嗜好啊,佩服

li13911

vm001 发表于 2013-5-23 21:32
注入explorer不可能火绒不拦截
而且注入explorer不是病毒固有的行为

火绒是拦截了，这个怎么说呢，但火绒的确没有拦截注入explorer这个动作，而是拦截的释放自身和自删除，放过后，explorer联网防火墙弹窗，默认推荐允许；再一次运行的时候就直接是被注入的services.exe联网了，防火墙弹窗，推荐允许。

jefffire

li13911 发表于 2013-5-23 21:14
看了一下，其实还是和正常程序联网不一样的，正常程序直接就连网了，而这些样本在联网前已经有很多动作啦 ...

微点把特征码,写成"未知",冒充行为分析结果.早就被人抓到过了.
http://bbs.kafan.cn/thread-1208353-1-1.html