查看: 5852|回复: 31
收起左侧

[讨论] 7.3.1090主防已有进步,只是可能又多了一种断网攻击,等着360再更新一种防断网攻击吧

  [复制链接]
leisong
发表于 2010-7-4 08:58:59 | 显示全部楼层 |阅读模式
本帖最后由 leisong 于 2010-11-21 12:37 编辑

更新到7.3.0.1090最新督导版,重新测试7月2日包1号样本http://bbs.kafan.cn/thread-737974-1-1.html
首先,85个样本已能全部查杀


弹框数量大量减少,只有下面几个







流量监控对联网的高危进程依然不主动拦截


不过没见下载木马回来,竟然给下载了2个浏览器回来

最后清除病毒后,只见残余这3个进程,其中PFSERVER.EXE是自启动的服务项,且用XUETR检查未见其它未知启动项和内核模块



将SOUGOU.EXE和PFSERVER.EXE上传到多引擎检测,只有2-3个偏门杀软报毒,进入文件夹打开SOUGOU.EXE,竟然真的是搜狗浏览器(这个忘截图了)
另一个PFSERVER.EXE进入所在文件夹,打开另一个浏览器图标的EXE文件,居然是个水蜜桃浏览器,输入网址还真能上网,双击里面的卸载程序,居然也真的能卸载,卸载后知残余一个DLL文件,PFSERVER.EXE也被顺利卸载,再用ARK工具看,已经没有这个服务项了






想来木马集团也是集团化经营,下载器不光会下载木马回来了,也会下载能够赚钱的正常软件回来,想起金山的官人前2天说过类似的话,现在的挂马不光挂木马了,同样也挂正常的推销的软件,只要能赚钱

和昨天的测试结果相差很大,找不到病毒进程及未知启动项了

最后遗憾的是,在360宣布又多了一种防断网攻击后,病毒可能又多了一种断网攻击,唉,等着360再更新一种防断网攻击吧
日志显示360自动允许修改网络协议和网络设置,云扫描显示断网,且这个85个样本包只能查到5个了,启动贝壳同样无法连接网络,但浏览器能正常上网,除了安软被断网外,没有其它中毒症状,电脑很流畅,不再像之前版本那样卡死,越来越多的病毒进程跳出来,得结束占用最多的病毒进程且用禁运措施才能发帖

最后,功亏一篑,宣布此样本防御失败,不过进步很明显

当然1个样本不足以说明问题,有空我会测试上个月22号的漏过3607.1主防的样本






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
碎玉醉
发表于 2010-7-4 09:03:17 | 显示全部楼层
鄙人已经感觉不错了
卧底小八路
发表于 2010-7-4 09:04:20 | 显示全部楼层
不知道木马有没有办法躲掉“流量监控”的监控?
leisong
 楼主| 发表于 2010-7-4 09:06:41 | 显示全部楼层
水蜜桃浏览器,我孤陋寡闻,还真的第一次看到和听到,各位有听说过
jefffire
头像被屏蔽
发表于 2010-7-4 09:13:33 | 显示全部楼层
断网,云杀软永远的痛
leisong
 楼主| 发表于 2010-7-4 09:15:10 | 显示全部楼层
想问下360官人,360为何会自动允许修改网络设置和协议,这不是很危险么
难道自动允许修改前已被断网,下面所有动作都畅通无阻了?
还是自动允许修改网络协议和设置就是被断网的原因?如果是,为什么要自动允许?
官方能否给个答案
白羊座
发表于 2010-7-4 09:47:58 | 显示全部楼层
断网是防不胜防的,能防一个是一个吧,一般来说,对于断网现象,还是依靠修复多于依靠防御的

新版的主防(及格线版本算是开发完毕了)已经开始进入开发流程,预计整个过程持续约1-2个月(从新版出到改进完成至下个版本),其中有针对断网做一些策略上的调整,在断网时能保持大部分联网防御能力,但是防断网还是无法保证的,需要依靠修复。如果在这个问题上太过纠结,那只能使用底层办法绕过一切设置直接联网,但是这是不折不扣的流氓软件行径,就像360主防不可能做成完整的rootkit来隐藏自己进程不被任何木马识别,不可能用MBR方式强制启动一样。在安全软件和木马的战斗中,安全软件完全是弱势的,木马的技术方式可以不考虑稳定性,行业约束和职业道德,但是安全软件不可以

评分

参与人数 1人气 +1 收起 理由
~~无心~~ + 1 很中肯

查看全部评分

jk58639844
发表于 2010-7-4 10:03:44 | 显示全部楼层
这样啊,了解了,安软确实有些被动
leisong
 楼主| 发表于 2010-7-4 10:22:02 | 显示全部楼层
回复 7楼 白羊座  的帖子

这段话说的很客观很实际
安软的确在明处被针对性攻击,且必须得考虑系统的稳定性和安全性

那就期待下1-2个月后的全新版的主防,的确很诱人,但是只怕为反而反的那些人到时精神都要崩溃了,反得觉都睡不好了,都已经把反360当作人生目标了
   
peter08
发表于 2010-7-4 10:36:56 | 显示全部楼层
我就不用断网的办法过云,因为这样会导致肉*的不安全.

有时候无聊 还可以帮肉*用360杀下毒的.

不过倒是很想研究下断网这个技术.
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 17:55 , Processed in 0.150839 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表