楼主: vm001
收起左侧

[砖头] 360你TMD是不是有内部人员又给木马过白了?

[复制链接]
Picca
发表于 2018-8-16 11:43:01 | 显示全部楼层
本帖最后由 Karna 于 2018-8-16 13:18 编辑

编辑掉
ydgaga
发表于 2018-8-16 11:46:28 | 显示全部楼层
360卫士不应该配合360杀毒一起使用么?,卫士单独的能力应该不够吧
vm001
 楼主| 发表于 2018-8-16 12:15:32 | 显示全部楼层
360主动防御 发表于 2018-8-16 10:47
问题1:wxmsw28u_gcc_cb.dll是真正的木马程序,它是不在白名单里的,这个dll从一出现就一直是灰的,直到 ...
问题1:wxmsw28u_gcc_cb.dll是真正的木马程序,它是不在白名单里的,这个dll从一出现就一直是灰的,直到被拉黑
这如果真没加过白名单是最好不过的

问题3:网购模式下我们本地测试,木马dll未置黑的情况下还是能正常弹窗(这里的未置黑的意思就是把dll的md5改了让它成了个灰的)
这个现在黑了就更好测试问题了,我们准备两个包一个是dll拉黑的,一个是dll修改一下md5的,先用拉黑包测试网购模式,因为拉黑直接运行QQNetBar.exe会拦截报毒wxmsw28u_gcc_cb.dll,那么我们关闭卫士先让木马跑起来( 来模仿非网购模式下木马运行起来)因为这篇帖子发出的时候dll还没拉黑木马是可以运行起来的(只是拦截启动项),然后开启卫士,手动进入网购模式,卫士提示环境安全,并未提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持,和本帖测试结果一致,这个测试完了再用修改了md5的包测试,这时候不用关闭卫士直接运行,木马起来后进入网购模式,这时候卫士会提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持,如上个回复的截图。。
这说明正常情况下卫士网购模式下是可以识别白程序加载未知dll,然而起初测试的原MD5未拉黑和拉黑后的均没有提示,说明问题出在这个md5上。这我就不由的怀疑不是被人加白了就是网购模式有bug,说有bug那为啥原md5未拉黑和修改md5后dll同样在灰的状态下出现了2个不同的结果(换句话说就是MD5不变的情况下不管是黑的还是灰的,卫士的网购模式环境扫描都不能识别)
问题2:QQNetBar.exe和qqwb_protect.exe这两个文件一直都是白的,也没有被置灰的情况
问题4:qqwb_protect.exe修改启动项会被拦截,拦截原因不是因为他没有被置灰。这个程序一直都是白的,拦截是云规则做的
为了测试这个,我特意下了这个软件
http://dldir1.qq.com/netbar/gateway/QQNetBarSetUp/QQNetBarSetup.exe

当然下载个版本不一致,这样更好----出现了被拦截



所以这个也证实了你说的两个exe并没有置灰,是规则拦截,同时我也才反应过来,如果置灰的话我前面的测试网购模式下就会提示了(这里我有点呆瓜了)
不过这个规则经过测试貌似不太复杂,嘿嘿嘿。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
360主动防御
发表于 2018-8-16 17:35:52 | 显示全部楼层
vm001 发表于 2018-8-16 12:15
这如果真没加过白名单是最好不过的

这个现在黑了就更好测试问题了,我们准备两个包一个是dll拉黑的, ...

您好本地测试网购模式,网盾拦截不管样本是黑的还是灰的,都会拦截的,请问您那边有现场吗,方便的话我联系您再看看

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vm001
 楼主| 发表于 2018-8-16 18:15:40 | 显示全部楼层
本帖最后由 vm001 于 2018-8-16 18:17 编辑
360主动防御 发表于 2018-8-16 17:35
您好本地测试网购模式,网盾拦截不管样本是黑的还是灰的,都会拦截的,请问您那边有现场吗,方便的话我联 ...
不要测试qqwb_protect.exe
你测试这个QQNetBar.exe
关闭卫士后执行这个,让他去加载拉黑后的wxmsw28u_gcc_cb.dll(不要修改md5)
让他跑起来,跑起来以后打开360卫士手动让360进入网购模式做支付环境扫描,看看会不会出现360提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持--------------就是下面这个提示




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
360主动防御
发表于 2018-8-16 18:32:51 | 显示全部楼层
本帖最后由 360主动防御 于 2018-8-16 18:42 编辑
vm001 发表于 2018-8-16 18:15
不要测试qqwb_protect.exe
你测试这个QQNetBar.exe
关闭卫士后执行这个,让他去加载拉黑后的wxmsw28u_gcc ...

您好,按照您的方法测试依然会弹窗拦截的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
3100
发表于 2018-8-16 18:33:42 | 显示全部楼层
有这等事?360工程师审核不严,建议不要用了,小心中木马
360主动防御
发表于 2018-8-16 18:38:02 | 显示全部楼层
3100 发表于 2018-8-16 18:33
有这等事?360工程师审核不严,建议不要用了,小心中木马

您好安全公司是绝对不会存在这种情况的,这是原则问题

这个帖子反馈的只是一个白利用的木马问题,主防相关功能是可以拦截的,您可以放心使用
vm001
 楼主| 发表于 2018-8-16 19:01:52 | 显示全部楼层
本帖最后由 vm001 于 2018-8-16 19:03 编辑
360主动防御 发表于 2018-8-16 18:32
您好,按照您的方法测试依然会弹窗拦截的

现在测试不出现象了,我也是这个截图了。。。这回因该是QQNetBar.exe置灰了

15楼的截图才是最正常的白+黑运行后360网购模式环境扫描的拦截泡泡


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
275751198
发表于 2018-8-16 20:21:15 | 显示全部楼层
那个17楼无脑来黑啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:36 , Processed in 0.087897 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表