14号30个样本3607.3.0.1090主防拦截率93.33%,有2个样本有异议

显示全部楼层 · 发表于 2010-7-14 21:51:09

辛苦了

显示全部楼层 · 发表于 2010-7-14 21:54:03

测试辛苦啊,,

显示全部楼层 · 发表于 2010-7-14 21:58:51

本帖最后由 jm3800072 于 2010.7.14 22:00 编辑

1-4 运行后360扫描发现有2个启动项算不算穿掉
2-1后台调用IE联网360不拦截，360不拦这个老问题了，算不算

2-1样本有点严重,以前测试样本碰了几个调用iexplore.exe进程联网进行下载,主防拦载不了,要切断连接进程才行,放任不管然后莫名下载些流氓软件病毒木马自动装上

显示全部楼层 · 发表于 2010-7-14 22:03:09

本帖最后由 mj0011sec 于 2010.7.14 22:05 编辑

1).启动项那个，不是真的能启动的

2).联网这个，目前主防是没有关注联网，因为就算你连了网，下回来的木马一样被干掉，盗号或者远程后门之类，得不到重启启动也没有什么意义，当然以后会考虑拦截，也可以考虑用360网络防火墙来拦嘛，呵呵。
阻止并记住失效是指什么？目前对于DLL注入，检测到是木马的，阻止并记住是存在一个BUG的（也就是你之前说的运行任何一个程序都弹出，实际那时候是没有能够成功注入的，属于没有记住的BUG），这是因为目前AD还是在BETA中，最近会修复这个问题，如果是其他的地方阻止并记住没有记住，则是这样的，现在记住的是特定的行为，而并非这个程序本身，如果要记住程序，请选择阻止程序的所有操作。

显示全部楼层 · 发表于 2010-7-14 22:12:40

回复 34楼 mj0011sec 的帖子

不能启动的项目报启动项也是BUG吧？

显示全部楼层 · 发表于 2010-7-14 22:16:17

回复

不能启动的项目报启动项也是BUG吧？
尝微听几发表于 2010.7.14 22:12

云查杀会比较严格了。

显示全部楼层 · 发表于 2010-7-14 22:27:23

回复 34楼 mj0011sec 的帖子

对于纯粹的下载器联网，依靠防火墙或以后完善ND功能，我已不纠结这个问题，在下载木马后拦截也是一样；可是后台调用浏览器联网是标准的木马行为，提前拦截后台调用IE的行为不是更好

显示全部楼层 · 发表于 2010-7-14 22:29:49

leisong 辛苦了。偶有兴致，想测试测试今天的包。
金山卫士检测数：23个
安全卫士检测率：27个。

正在看剩下几个文件性质。

显示全部楼层 · 发表于 2010-7-14 23:20:24

LZ真是不容易，360区现在就靠你和MJ反映真实问题了

显示全部楼层 · 发表于 2010-7-14 23:22:42

LZ真是不容易，360区现在就靠你和MJ反映真实问题了
jinzijie 发表于 2010.7.14 23:20

MJ是360官人，算是收集问题吧

[讨论] 14号30个样本3607.3.0.1090主防拦截率93.33%,有2个样本有异议