360你TMD是不是有内部人员又给木马过白了？

显示全部楼层 · 发表于 2018-8-16 11:43:01

本帖最后由 Karna 于 2018-8-16 13:18 编辑

编辑掉

显示全部楼层 · 发表于 2018-8-16 11:46:28

360卫士不应该配合360杀毒一起使用么？，卫士单独的能力应该不够吧

显示全部楼层 · 发表于 2018-8-16 12:15:32

360主动防御发表于 2018-8-16 10:47
问题1：wxmsw28u_gcc_cb.dll是真正的木马程序，它是不在白名单里的，这个dll从一出现就一直是灰的，直到 ...

问题1：wxmsw28u_gcc_cb.dll是真正的木马程序，它是不在白名单里的，这个dll从一出现就一直是灰的，直到被拉黑

这如果真没加过白名单是最好不过的

问题3：网购模式下我们本地测试，木马dll未置黑的情况下还是能正常弹窗（这里的未置黑的意思就是把dll的md5改了让它成了个灰的）

这个现在黑了就更好测试问题了，我们准备两个包一个是dll拉黑的，一个是dll修改一下md5的，先用拉黑包测试网购模式，因为拉黑直接运行QQNetBar.exe会拦截报毒wxmsw28u_gcc_cb.dll，那么我们关闭卫士先让木马跑起来（来模仿非网购模式下木马运行起来）因为这篇帖子发出的时候dll还没拉黑木马是可以运行起来的（只是拦截启动项），然后开启卫士，手动进入网购模式，卫士提示环境安全，并未提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持，和本帖测试结果一致，这个测试完了再用修改了md5的包测试，这时候不用关闭卫士直接运行，木马起来后进入网购模式，这时候卫士会提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持，如上个回复的截图。。
这说明正常情况下卫士网购模式下是可以识别白程序加载未知dll，然而起初测试的原MD5未拉黑和拉黑后的均没有提示，说明问题出在这个md5上。这我就不由的怀疑不是被人加白了就是网购模式有bug，说有bug那为啥原md5未拉黑和修改md5后dll同样在灰的状态下出现了2个不同的结果（换句话说就是MD5不变的情况下不管是黑的还是灰的，卫士的网购模式环境扫描都不能识别）

问题2：QQNetBar.exe和qqwb_protect.exe这两个文件一直都是白的，也没有被置灰的情况
问题4：qqwb_protect.exe修改启动项会被拦截，拦截原因不是因为他没有被置灰。这个程序一直都是白的，拦截是云规则做的

为了测试这个，我特意下了这个软件
http://dldir1.qq.com/netbar/gateway/QQNetBarSetUp/QQNetBarSetup.exe

当然下载个版本不一致，这样更好----出现了被拦截

所以这个也证实了你说的两个exe并没有置灰，是规则拦截，同时我也才反应过来，如果置灰的话我前面的测试网购模式下就会提示了（这里我有点呆瓜了）
不过这个规则经过测试貌似不太复杂，嘿嘿嘿。。

显示全部楼层 · 发表于 2018-8-16 17:35:52

vm001 发表于 2018-8-16 12:15
这如果真没加过白名单是最好不过的

这个现在黑了就更好测试问题了，我们准备两个包一个是dll拉黑的， ...

您好本地测试网购模式，网盾拦截不管样本是黑的还是灰的，都会拦截的，请问您那边有现场吗，方便的话我联系您再看看

显示全部楼层 · 发表于 2018-8-16 18:15:40

本帖最后由 vm001 于 2018-8-16 18:17 编辑

360主动防御发表于 2018-8-16 17:35
您好本地测试网购模式，网盾拦截不管样本是黑的还是灰的，都会拦截的，请问您那边有现场吗，方便的话我联 ...

不要测试qqwb_protect.exe
你测试这个QQNetBar.exe
关闭卫士后执行这个，让他去加载拉黑后的wxmsw28u_gcc_cb.dll（不要修改md5）
让他跑起来，跑起来以后打开360卫士手动让360进入网购模式做支付环境扫描，看看会不会出现360提示QQNetBar.exe被wxmsw28u_gcc_cb.dll劫持--------------就是下面这个提示

显示全部楼层 · 发表于 2018-8-16 18:32:51

本帖最后由 360主动防御于 2018-8-16 18:42 编辑

vm001 发表于 2018-8-16 18:15
不要测试qqwb_protect.exe
你测试这个QQNetBar.exe
关闭卫士后执行这个，让他去加载拉黑后的wxmsw28u_gcc ...

您好，按照您的方法测试依然会弹窗拦截的

显示全部楼层 · 发表于 2018-8-16 18:33:42

有这等事？360工程师审核不严，建议不要用了，小心中木马

显示全部楼层 · 发表于 2018-8-16 18:38:02

3100 发表于 2018-8-16 18:33
有这等事？360工程师审核不严，建议不要用了，小心中木马

您好安全公司是绝对不会存在这种情况的，这是原则问题

这个帖子反馈的只是一个白利用的木马问题，主防相关功能是可以拦截的，您可以放心使用

显示全部楼层 · 发表于 2018-8-16 19:01:52

本帖最后由 vm001 于 2018-8-16 19:03 编辑

360主动防御发表于 2018-8-16 18:32
您好，按照您的方法测试依然会弹窗拦截的

现在测试不出现象了，我也是这个截图了。。。这回因该是QQNetBar.exe置灰了

15楼的截图才是最正常的白+黑运行后360网购模式环境扫描的拦截泡泡

显示全部楼层 · 发表于 2018-8-16 20:21:15

那个17楼无脑来黑啊

[砖头] 360你TMD是不是有内部人员又给木马过白了？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源