更新

辽宁大连~~小海

蓝天二号 发表于 2013-6-30 21:54
我在数字沙箱里跑。。也被关闭了服务。。自动重启系统。。。

被穿啦？你悲剧啦？我刚刚犯贱了又一次被锁屏~重启恢复了

kfz24

小洪 发表于 2013-6-30 19:03
把360爆虐了，，什么都没反映

瞎说了吧。。

下载下来提示未知，说明没有拉黑。

运行安装包，主防出来一个提示，当然这个提示关系不大。

然后从桌面点快捷方式进入游戏直接被拦截。

kfz24

辽宁大连~~小海 发表于 2013-6-30 21:56
被穿啦？你悲剧啦？我刚刚犯贱了又一次被锁屏~重启恢复了

数字沙箱没那么好穿的。
本来他就允许关机。不是被穿。

kfz24

丶鍇児、 发表于 2013-6-30 20:12
所以说，试毒还须慎重再慎重。
默哀~

默哀你个大头妹，根本穿不了数字沙箱。

辽宁大连~~小海

kfz24 发表于 2013-6-30 22:20
数字沙箱没那么好穿的。
本来他就允许关机。不是被穿。

哦，那是不了解哈，别建议

vm001

kfz24 发表于 2013-6-30 22:20
瞎说了吧。。

下载下来提示未知，说明没有拉黑。

第一，运行安装包主防拦截那个毫不影响远控木马的执行，那个拦截的是正常的文件dll（属于误拦）
第二，安装过程中杀毒监控杀掉的dll也不影响远控木马的执行，那个dll的是作用是木马启动以后关联启动游戏
第三，样本联网有2个行为，一是直接连接远程IP，这个360是拦截不了的，另一个是解析动态域名得到IP，这个360会拦截

丶鍇児、

kfz24 发表于 2013-6-30 22:25
默哀你个大头妹，根本穿不了数字沙箱。

-------------------
呵呵，quemei

XywCloud

嗯...其实，不止里面安装出来的东西有毒，还有我通过解包之后，巡警直接报了个远程控制工具。
不上图了，要消耗人品的。

kfz24

第一：所以我说“关系不大”。不排除有人看到这个提示，谨慎起见，不运行这个游戏了嘛。我说的有问题吗？


第二：是啊，晚上这个包又更新了，远控的dll，360没杀，上午的我记得是杀了。但是运行的时候Kill ghost远控了。你认为我给的截图是静态ip还是动态解析的？


另外那个被360sd杀掉的dll被vmp了，dump后看字符串目测是个盗号的。上午的时候金山连杀都没杀。360卫士没杀，360杀毒还杀了下。100步就别笑50步了。
第三：

一是直接连接远程IP，这个360是拦截不了的，另一个是解析动态域名得到IP，这个360会拦截。

看截图360拦的就是第一个嘛。

本来直接连IP就不好拦，只不过ghost公开化了，中国人都在用，所以确实应该拦拦。金山据你说在这方面下了功夫，是不？不过不用ghost，人家还可以用netman，boer，再不行用合法正规的远控。这个就不好弄了吧。

vm001

kfz24 发表于 2013-6-30 23:23
第一：所以我说“关系不大”。不排除有人看到这个提示，谨慎起见，不运行这个游戏了嘛。我说的有问题吗？
...

这个截图出来，你看下360的拦截日志就知道了，出现这个之前，360应该有一个动态域名拦截