Kaspersky与Microsoft的安全软件被利用以安装间谍病毒

驭龙

pal家族 发表于 2015-11-12 20:17
看来是利用了一个不存在的文件

小娜很激动，表示不认识那个路径是什么

pal家族

综合症初期患者 发表于 2015-11-12 19:56
关于文件扩展名的问题
那个新闻报道没有说全
你可以去看一下原本的研究报告

编辑掉~。

驭龙

综合症初期患者 发表于 2015-11-12 20:20
5楼的路径是我在Google上随便找的，只是为了说明ushata这个文件可能与kaspersky相关
原本的地址请见研究 ...

我更笑喷了 ，看看我家WD的路径


MSE的路径C:\Program Files\Microsoft Security Client\

看来这篇文章真的是子虚乌有的胡编乱造啊

综合症初期患者

另外附上研究报告的原文地址：

http://researchcenter.paloaltone ... dular-architecture/

这个就不翻了...太长

对他们的研究报告有意见的话，可以在这个页面下方直接comment

pal家族

驭龙 发表于 2015-11-12 20:22
小娜很激动，表示不认识那个路径是什么

貌似完全不是一回事。。。
首先无良媒体转载的东西完全偏离本意了，原文我还没时间详细阅读
wd的路径是错的，原文里更是没有出现过卡巴的路径。。。。就是突然冒出来一个kaspersky。。。。

综合症初期患者

pal家族 发表于 2015-11-12 20:30
貌似完全不是一回事。。。
首先无良媒体转载的东西完全偏离本意了，原文我还没时间详细阅读
wd的路 ...

这个可不是“突然冒出来”
请注意前文：

Thus far, the actors deploying bookworm have used the legitimate executables Microsoft Malware Protection (MsMpEng.exe) and Kaspersky Anti-Virus (ushata.exe) to perform DLL side-loading

这是研究报告的原文，而非新闻报道的原文

驭龙

综合症初期患者 发表于 2015-11-12 20:29
另外附上研究报告的原文地址：

http://researchcenter.paloaltonetworks.com/2015/11/bookworm-trojan-a ...

刚才看了一下，实际上是病毒自己创建和释放卡巴和WD的白文件，然后自己注入白文件，实际上就是白加黑而已，只不过是借用的安软白文件，不过我奇怪的是WD加载的话，不是检证文件的么？为什么会被黑文件利用？

综合症初期患者

驭龙 发表于 2015-11-12 20:36
刚才看了一下，实际上是病毒自己创建和释放卡巴和WD的白文件，然后自己注入白文件，实际上就是白加黑而已 ...

是白加黑没错
不过我还是第一次看到用安软的白文件的白加黑
之前在卡饭看到的白加黑都是用第三方签名的白文件

我觉得这是一个很好的设计思路，毕竟安软的权限高

然后...怎么突破的验证呢...研究报告的全文我并没有读完

不过就如15楼的截图强调的，它的注入方式是利用了在其他位置创造同名文件的方式

这种方法大概会对注入有帮助？不了解...

ELOHIM

小心最好，思路挺成熟的。上报微软吧！

驭龙

综合症初期患者 发表于 2015-11-12 20:43
是白加黑没错
不过我还是第一次看到用安软的白文件的白加黑
之前在卡饭看到的白加黑都是用第三方签名的 ...

嗯，看原文还是有一点意思的，思路不错，这种白加黑很少见，问题是现在微软的安软用户很多的，换路径的话，遇到有MsMpEng的，怎么运行呢？MsMpEng好像无法创建两个进程，而且真MsMpEng是有自我保护和文件检证的，这威胁很难大面积爆发