微软0day漏洞再被大规模利用 , “假面”木马盗用知名声卡厂商数字签名四处作恶

jm3800072

那个LNK和这个不是一回事。
mj0011sec 发表于 2010.7.18 17:50

什么时候才能拿出真正的主防

蓝天白云520

跟U盘监控没关系，U盘上根本就没病毒，因为金山根本拿不到样本，怎么查杀？哈哈！
mj0011sec 发表于 2010.7.18 17:44

你就意淫吧，不知道有何依据你可以信誓旦旦地说金山拿不到样本。除非是你们自己生产制造又不放出来传播的东西。否则只要一传播必会被截获。连我自己做的恶意批处理现在都有50%的杀软能查杀了，你知道批处理根本不具备传播性的，并且我制作出来之后第二天就上报金山了，基本不存在传播的可能性。但还是被外国N个杀软截获了

dl123100

回复 62楼 蓝天白云520  的帖子

看金山几个blog上给出的解决方法，让人很无语，应该还没抓到样本，甚至这个漏洞利用的poc都没找到。
   

mj0011sec

你就意淫吧，不知道有何依据你可以信誓旦旦地说金山拿不到样本。除非是你们自己生产制造又不放出来传播 ...
蓝天白云520 发表于 2010.7.18 18:18

自己看63楼，金山的两个图都是照抄F-secure的图，连解决方案都搞错，很明显是连这个病毒的边都占不到

这个病毒自身有隐藏功能，没有360宇宙第一的穿越扫描功能的金山，是扫不到样本的，更别谈上传的，就算退一万步病毒的隐藏出错了，金山偶尔抓到了样本，但是分不清这个是不是这个0DAY，一样是白搭，这个病毒不是你入库了就能杀的，要不也不会叫做0DAY了，也许金山抓到了，一看是声卡驱动签名，就乐呵呵地加白了，哈哈

zyh6036

回复 63楼 dl123100  的帖子


    关闭自动运行，还不如出个程序关闭webclient
不过服务不能瞎关倒是真的

dl123100

回复 57楼 mj0011sec  的帖子


    还没看过是怎么触发的 晚上仔细学习下 谢谢提供信息

zyh6036

回复 64楼 mj0011sec  的帖子


    赶紧做个热补丁，让微软再发表扬信

mj0011sec

回复


    关闭自动运行，还不如出个程序关闭webclient
不过服务不能瞎关倒是真的
zyh6036 发表于 2010.7.18 18:28

关闭那个服务也是没用的，只能阻止远程触发这个漏洞，这个漏洞一样可以通过U盘（现在就是如此）或本地进行传播。

蓝天白云520

自己看63楼，金山的两个图都是照抄F-secure的图，连解决方案都搞错，很明显是连这个病毒的边都占不到

...
mj0011sec 发表于 2010.7.18 18:27

金山又不是没截获过盗取了某知名安软签名的病毒。你莫不是在360待久了，真以为其他安全厂商是混饭吃的？据我所知，水银根本不会通过签名判断文件黑白，首先要过的是行为分析。

zyh6036

回复 68楼 mj0011sec  的帖子

无所谓，我机器上有360安全卫士