昨天跟各位分享mcafee咖啡使用感触与测试结果,那或许有人有疑问~真的吗?!17个挡了16个~!!,说的总是容易,今天我装著咖啡来做实战,实地走访台湾被入侵植入恶意连结的网站~!挑一个比较经典的恶意连结~!!
首站我来到良瑞科技中英文首页(与台湾电子地图首页)~皆被入侵植入同一恶意连结载Lineage木马变种~!!我们一连结进去mcafee马上报vbs恶意指令码,分析一下网站找到被植入update.html,update.html基本是恶意连结的一种他会载update.exe木马程式(update.html指令从同一网址载木马~原始码只打部分指令)~!!
<网页恶意指令码 mcafee封杀~无法载木马~!!>
好~实战,进入网页咖啡报VBS恶意指令码,那我们把update.html载下来丢到virustotal发现没有一家认为有问题?!这就是新手法的一种~用部分恶意指令不写VBS架构~防软根本查不到VBS架构与网页威胁~当恶意指令码,指令时咖啡才会报~封杀木马被下载~!!!
好那我们载木马来测试看看~咖啡update.exe完封~!!
看看virustotal~如果昨天没有我们回报卡巴与赛门根本查不到~假设骇客再用一种恶意手法改木马程式,入侵再植入恶意连结,报木马也只是治标不治本~!!
看完我的测试大家是否也想试试看呢?!我找一个威胁程度很低的被入侵的网站给大家玩玩~南投县埔里公所网页~hXtp://www.puli.gov.tw/index.htm(把x改成t),一进去咖啡马上报~!!(补充假设测试连入咖啡没报,请立即清除IE暂存~)
我把网页威胁载下来放到virustotal~ 这方面还是咖啡成熟多了~!!
总结:咖啡可以一开始连结恶意网页要做植入木马的恶意指令行为时完封,属於治本,Lineage.dl定义其实也是2006年7月大量回报逼出来的新定义~目前测试状况再变种几乎可以杀(也可以证实100变种查90以上的说法了~至於这个原因我再下一篇文章会跟大家聊卡巴处理方式与咖啡处理方式)~!!
[ 本帖最后由 黑衣~魂 于 2007-2-7 15:54 编辑 ] |
发表于 2007-2-7 14:02:23
楼主