再次敦促火绒重视后门类程序的监测。。。再次提供三个样本请官人高度重视！！！

vm001

li13911 发表于 2013-5-23 21:43
火绒是拦截了，这个怎么说呢，但火绒的确没有拦截注入explorer这个动作，而是拦截的释放自身和自删除，放 ...

这个之前火绒是可以拦截的，你测试这个注入explorer和services.exe的样本估计不错的话是za病毒，这个之前就和刘刚说过，很早就改正能完全拦截了...

而这里楼主的截图说火绒只提示了联网，并没有说其他，所以说只联网这步就报毒完全不合理，如果微点报了，我只能认为他不是行为分析....

li13911

vm001 发表于 2013-5-23 21:47
这个之前火绒是可以拦截的，你测试这个注入explorer和services.exe的样本估计不错的话是za病毒，这个之前 ...

的确，这个病毒在联网前没有什么动作，就一个跨进程读取内存，然后联网，微点这个时候报后门明显有端倪；其次说火绒，za是怎么注入的我不知道，但是这个病毒用火绒的话说是“跨进程排队APC”，火绒绝对没有拦截这一步，因为现在的火绒剑可以直接看到触发的拦截点了。

li13911

jefffire 发表于 2013-5-23 21:44
微点把特征码,写成"未知",冒充行为分析结果.早就被人抓到过了.
http://bbs.kafan.cn/thread-1208353-1-1 ...

嗯，知道了。看的动作也是的，如果微点在联网前或者联网时直接报后门，应该是加入了特征码

vm001

li13911 发表于 2013-5-23 21:53
的确，这个病毒在联网前没有什么动作，就一个跨进程读取内存，然后联网，微点这个时候报后门明显有端倪； ...

嗯，现在火绒为什么没拦截我就不知道了...也许火绒还要看他后续动作做判断？

li13911

vm001 发表于 2013-5-23 21:55
嗯，现在火绒为什么没拦截我就不知道了...也许火绒还要看他后续动作做判断？

后续的动作还是这些，火绒根本没有在这种方式上下观察点，火绒没有加这种注入的方式。你有za样本的链接吗？

vm001

li13911 发表于 2013-5-23 22:02
后续的动作还是这些，火绒根本没有在这种方式上下观察点，火绒没有加这种注入的方式。你有za样本的链接吗 ...

你看下样本区，墨家小子发那些就有，具体连接我也不清楚，肯定能找到..

jone_jys

http://bbs.kafan.cn/thread-1573081-1-1.html
我只测试了这个帖子里面的样本，而且是误点了的。 那个样本双击运行后会自动删除源文件，而且会直接调用IE去下载exe文件；应该可以判定确实为一后门程序。。。

因为开启规则慢了几拍，只记录了一条日志，可惜。。。

2013/5/23        19:57:04        已由访问保护规则禁止         jone-PC\jone        C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE        C:\Users\jone\AppData\Local\Temp\CAC4.tmp.exe        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建

flyinbed

jefffire 发表于 2013-5-23 21:35
哎 ,这理解能力.
只能继续"呵呵"了.
顺便提醒一句,  河边走多了,早晚会湿鞋的.

不做亏心事，不怕鬼敲门
你们两活宝继续

win98sp123

看37楼，微点报的还是有道理啊。。。

li13911

jone_jys 发表于 2013-5-23 22:14
http://bbs.kafan.cn/thread-1573081-1-1.html
我只测试了这个帖子里面的样本，而且是误点了的。 那个样本 ...

这些动作都是在联网后才做的，刚开始没有这些的。