查看: 5775|回复: 4
收起左侧

[技术原创] 360的云引擎启发

[复制链接]
275751198
发表于 2016-3-23 22:34:21 | 显示全部楼层 |阅读模式
本帖最后由 275751198 于 2016-3-23 22:36 编辑

最近墨家小子大神的样本虐得360一波波的。最新变种的dll病毒倒是把360整魔怔了。
首先dll系列样本360并没有入库。



为了证明,我另外单把dll上传到云盘又下载一遍,结果依然是360不认识




但是只要右键扫描,云引擎就报了。


这是一个标准的云引擎启发,虽然很罕见,但是这几只样本触发了云引擎极其稀少的启发。但是这并不是什么令人骄傲的事,因为它随之而来导致更大的麻烦。


1、最近的N多只dll云端都没有入库。没有入库就不能被QVM学习。
2、360盲目的以扫描报  就作为成功识别的结果。但是云启发只在极其罕见的情况,且只在扫描时被触发,也就是说就算dll被加载运行起来,360也不报。更坑爹的是貌似还发现了一个bug,只对应用程序扫描才有云启发。dll压缩包怎么右键扫都报不了。看来是调动启发的规则上,压缩包被排除在外了。
3、实时防护,云端和QVM联动才是拦截木马变种的常态方法。这个系列的dll却一直没能进入入库的环节,因而才导致QVM不能识别,dll被加载起来,主防也不能拦截。详情可见墨家小子测评贴。
4、最后的最后,依然是主防规则上的问题,不能从源头上拦截注入。被注入恶意代码的系统进程又不断下载dll,360又不入库这几只dll。也不能像ESET那样杀掉dll,唉,死定了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
沧桑浪子
发表于 2016-3-23 22:41:04 | 显示全部楼层
目前有些病毒360安全卫士可杀,360杀毒不可杀
还有些是下载防护杀,360安全卫士和360杀毒扫描都不杀
病毒名都是那种特殊命名的云QVM
在360安全卫士里叫做云特征引擎
275751198
 楼主| 发表于 2016-3-23 22:45:21 | 显示全部楼层
沧桑浪子 发表于 2016-3-23 22:41
目前有些病毒360安全卫士可杀,360杀毒不可杀
还有些是下载防护杀,360安全卫士和360杀毒扫描都不杀
病毒 ...

下载杀是因为下载的云更敏感也更新。下载都不杀那就是云真的不认识。
墨家小子
发表于 2016-3-24 13:57:22 | 显示全部楼层
可以告诉你,跟我之前的猜测是一样的,我也录像了,ESET设置规则之后可以在进入挂马网页之后的几分钟之内经过一连串的注入(http://bbs.kafan.cn/thread-2034448-1-1.html)由被注入的explorer在C:\ProgramData创建文件夹并生成木马dll,然而我开着360安全卫士进挂马网页只拦截到exe加密勒索,并没有拦截那个dll文件
这是数字的测试帖:http://bbs.kafan.cn/thread-2034262-1-1.html
275751198
 楼主| 发表于 2016-3-24 15:26:14 | 显示全部楼层
墨家小子 发表于 2016-3-24 13:57
可以告诉你,跟我之前的猜测是一样的,我也录像了,ESET设置规则之后可以在进入挂马网页之后的几分钟之内经 ...

dll文件并没有入库,只不过是右键扫描的时候很偶然的因素启发报了,但是它报了不等于入库,仅限于右键扫描才报,即使dll被加载被运行也是没有反应的。所以很坑爹啊,已经联系工作人员反馈这个问题了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:12 , Processed in 0.178606 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表