“隐身猫”伪造PDF 微点主防让“免杀”无处逃

softkiller

+ ：喵~

360安全中心近日发布橙色木马疫情公告：
一款名为“隐身猫”的高危远程控制类木马在春节期间传播量剧增，已经有超过80万台电脑被感染，而“隐身猫”就藏于这个中国第一车模兽兽的艳照门视频中。

通过监视受害用户的电脑屏幕、记录键盘操作来盗取网游、网银以及用户所装宽带的账号密码、随意查看和盗取中招用户的资料，而且有强大的视频偷窥功能。此外，“隐身猫”还能通过代理中招者的IP进行非法的网上犯罪行为，危害极为严重。

“隐身猫”具有变种多、隐蔽性强、根除难度高三大特点。黑客可以很方便地修改特征码，轻松躲过杀毒软件的查杀，更新变种速度极快。另外，“隐身猫”使用了一种相对高端的“复活”手段，能绕开绝大多数杀毒软件的实时监控，即便清理掉它的启动项，它也能在电脑重启前用回写技术加以恢复。

微点主动防御软件实时拦截处理成功

“隐身猫”照猫画虎伪造自身为PDF阅读器的服务（其实是随机生成.dll），部分安全软件默认放行：


Trojan.Win32.Agent.jdw：


微点杀毒软件Beta版 虚拟机扫描

病毒作者制作的另外一个“兽兽门”：

微点杀毒软件Beta版 六大技术特点:
1.API级别的虚拟机脱壳技术
2.基于虚拟机的动态启发式技术
3.基于虚拟机行为分析的嗅探式启发扫描技术
4.基于虚拟机的多态病毒清除技术
5.基于病毒传统特性的反免杀技术
6.系统核心文件寄生类木马清除/修复技术

支持的操作系统:
Microsoft Windows 2000/XP/2003/2008/vista/7
(32位/64位)
支持的语言:中文简体 英文

62590423

入库的毒，，

softkiller

没有入库。

wcj20236

回复 3# softkiller


    已命名未入库？囧。。。

hu3167343

LZ太有才了

softkiller

回复 4# wcj20236


未知病毒 确实还没有入库 启用的是微点虚拟机扫描
请仔细看一楼的微点虚拟机探测报警截图：右下角有个992k.exe。

wcj20236

回复 6# softkiller


   你理解错了，对于该样本，既然微点杀毒软件扫描后报出具体病毒名，表示属于入库病毒。
至于992k.exe，是扫描的技术所侦测到的信息罢了，一般杀软可能没有提供显示而只是提供结果。
该样本的某段特征已入库。

herofw

楼主可以试试主防!

cpfun

今天下午我还与这个992k.exe来了个零距离接触。。

softkiller

回复 7# wcj20236

下面2张图，
第一张未开启虚拟机
第二张开启虚拟机：