关于网络病毒自动运行的讨论

亏神

柯林 发表于 2016-3-31 12:36
补充一句：现在的加密勒索马，喜欢用js格式，因为这个相对冷僻，一般人不会防御它，当你点击js时，脚本解 ...

请问楼主所提的例子中wscript执行js中的代码，到病毒服务器上下载加密马（exe或scr）来电脑里。
1：那这个出站请求到底是哪一个程序，是wscript.exe，还是js本身呢？
2：木马下载到本地电脑，那他要联网才能发挥作用吧，这时的出站请求应当是木木马本身了吧？如果这样的话，在防火墙出站提示里应当可以阻止吧，这种陌生的出站程序应当可以识别吧

柯林

亏神 发表于 2016-3-31 19:56
请问楼主所提的例子中wscript执行js中的代码，到病毒服务器上下载加密马（exe或scr）来电脑里。
1：那这 ...

批处理，脚本，真正的执行者都是解释器本身，行为自然是宿主。至于毛豆是报宿主本身，还是直接报文件本身，这个由毛豆自身的设计所决定，你观察个实例就知道了。

防火墙当然是能够检测到这种不正常联网的，以毛豆防火墙默认安全模式为例，发生脚本或批处理文件联网，会有弹窗提示。

jefffire

远程代码执行漏洞。。。

柯林

jefffire 发表于 2016-3-31 20:41
远程代码执行漏洞。。。

这方面的相关信息，能不能详细说一说，看下具体的过程或原理，以及可能的防御手段。

HEMM

BBCALL 发表于 2016-3-31 16:15
自动运行也不怕
流行什么败了，其实更本没中标，玩毒请记得清沙盘。

玩毒不是应该虚拟机吗？什么时候轮到沙盘了........
至于林姐姐这篇文章，不明觉厉

HEMM

亏神 发表于 2016-3-31 19:56
请问楼主所提的例子中wscript执行js中的代码，到病毒服务器上下载加密马（exe或scr）来电脑里。
1：那这 ...

wscript.exe

亏神

HEMM 发表于 2016-3-31 23:52
wscript.exe

多谢版主

电脑发烧友

   网络病毒发作第一大关就是“创建进程”这个权限，按理说，这种基础类的拦截应该不会漏掉，所以这个权限或许可以帮助我们在工具存在缺陷的情况下掐断攻击路径，任何程序只允许执行自己的文件，QQ一类的允许调用浏览器，其他的一律询问（包括系统程序），严格点的直接禁运

网页漏洞攻击使IE执行代码启动conhost，然后conhost启动taskhost和explorer，explorer注入其他系统进程，被注入的系统进程联网下载dll

  漏洞攻击使得IE成了傀儡，能够控制IE干任何事情，但是只是IE有这么干的趋势而已，IE还需要有这个权限，也就是说，IE没有启动子进程的权限一切都是然并卵，被注入了又能怎样？被注入的进程没有执行恶意操作的权限，还是白忙活。

   通过以上可以知道控制常用的程序有多磨重要。目前自用规则已经开始对系统的白名单程序加以限制，例如执行程序询问等，这样可能在极端情况下掐断类似攻击的路线。
   
   事实证明，对于COMODO来说，同一套规则，安全模式和疯狂模式，出现安全模式几乎无弹窗和疯狂模式弹窗爆炸的情况还是占多数。这种情况相比会出现什么问题也是可以预见的。

柯林

电脑发烧友 发表于 2016-4-2 22:41
网络病毒发作第一大关就是“创建进程”这个权限，按理说，这种基础类的拦截应该不会漏掉，所以这个权限 ...

这个看comodo的监控点，如果监控点在或者可以打开，相关动作可以拦截，否则就只能靠拦截进入或禁止运行之类的变相手段进行弥补。现在的拦截率下降，主要是求易用性的关系，搞白名单二分法，这个还是有点粗，能够学一学数字，对高危动作或者用户自定义的监控项目询问，余者不问，应该才是最好的智能方式，不知道以后的版本能不能往这个方向改动一下。

HEMM

电脑发烧友 发表于 2016-4-2 22:41
网络病毒发作第一大关就是“创建进程”这个权限，按理说，这种基础类的拦截应该不会漏掉，所以这个权限 ...

这么说你的规则禁止了浏览器创建%SystemRoot%\System32\rundll32.exe和%SystemRoot%\explorer.exe还有%SystemRoot%\System32\dllhost.exe？？？