楼主: leisong
收起左侧

[分享] 360 7.3 8月平均查杀率85.68%,+主防97.76%,仅供参考,几个老问题正在修复中

  [复制链接]
x64hips
头像被屏蔽
发表于 2010-8-29 01:30:24 | 显示全部楼层
几个问题依旧没解决
打印注入(16)
开始菜单根目录快捷方式拦截(17 18 19 27)
重启(34)
流量监控为 ...
jinzijie 发表于 2010.8.28 13:15

打印注入新版应该是解决了,要么你没升级要么是规则过松对云依赖比较大导致,明天我测一下并入云库,下周会开始增强规则并对全网用户更新打印机拦截,从目前云海量统计来看打印机注入似乎比我们原先预料得影响范围要小

开始菜单快捷方式还在测试中本来本周会发布,不过应该是被m版本拖后了,下周初应该会发布

重启的是什么?恶作剧的那个吗?明天测试看看

流量监控现在暂时应该不会和主防联动,应该主防会有自己的网络拦截部分,但还未有明确计划

模拟点击还是上次改图标那个吗?对抗这个的版本也会在下周初发布,这个版本是被此前那个特殊输入法注入kill360的拦截给拖后了
jinzijie
发表于 2010-8-29 01:33:32 | 显示全部楼层
打印注入新版应该是解决了,要么你没升级要么是规则过松对云依赖比较大导致,明天我测一下并入云库,下周 ...
x64hips 发表于 2010.8.29 01:30

重启的就是类似http://bbs.kafan.cn/thread-773869-1-1.html 5L的这种
模拟点击貌似就是上次那种http://bbs.kafan.cn/thread-778681-1-2.html

x64hips
头像被屏蔽
发表于 2010-8-29 01:35:26 | 显示全部楼层
28号82.86%(29/35)<360SD 91.43%


3号等了许久才把木马下载回来,是老朋友fake av,参考536L..

16号 ...
jinzijie 发表于 2010.8.28 21:31


winlogon,默认允许的我明天会看一下有什么问题

pfserver这个是有签名的流氓程序,明天看下要不要更新云库

taskmgr和计划任务这两个拦截应该已经修复了,明天会同相关人员确认升级和发布情况
x64hips
头像被屏蔽
发表于 2010-8-29 01:36:48 | 显示全部楼层
相关需要测试的文件请通过邮箱或网盘给我吧谢谢
jinzijie
发表于 2010-8-29 01:55:50 | 显示全部楼层
本帖最后由 jinzijie 于 2010.8.29 02:36 编辑
相关需要测试的文件请通过邮箱或网盘给我吧谢谢
x64hips 发表于 2010.8.29 01:36

http://u.115.com/file/f7e663f696

3  16  20号云已经能kill....

换1010m重新测试了下:3号云的缘故,运行后样本被kill,fake av没来得及启动;16号云的缘故,没来得及注入winlogon就被kill,所以内存暴涨死机的问题无法重现;20号也是云的缘故,运行后就被kill,不过欣喜的看到日志里有自动拦截了计划任务;22  28  33号不变,参考560L

aaronwithu 该用户已被删除
发表于 2010-8-29 10:11:19 | 显示全部楼层
卫士查杀率这么高???
那还要杀毒干什么!!!!!!!!!!
leisong
 楼主| 发表于 2010-8-29 16:39:08 | 显示全部楼层
本帖最后由 leisong 于 2010.8.29 16:43 编辑

回复 565楼 jinzijie  的帖子

感谢你的测试,很有参考意义。让我非要弄清楚入库和不入库有何区别,果然是有区别的,看来纯主防测试得全部免杀下才行。
3号运行了一会儿没有反应,没耐心再等了

16号入库和没入库果然有区别,360是今天最新1010M

入库后,360只有一个自动阻止的日志病毒就OVER了,看日志的最下面那行;而修改MD5值后,有3个弹框,其中就有你说的注入行为,但没注入成功(用XUETR和WSYSCHECK均没看到,绕过ARK工具检测我就没办法知道了),内存暴涨了一会儿就退到1M以下了,但虚拟内存还是那么高572M,不知道什么原因没注入成功内存也涨,不过一会就退下去了,没有卡死。
leisong
 楼主| 发表于 2010-8-29 17:44:13 | 显示全部楼层
本帖最后由 leisong 于 2010.8.29 17:47 编辑

20号,入库后自动阻止了计划任务,但是修改MD5后,成功修改计划任务,360云和XUETR均能看到,看来入库和不入库的确有区别啊。
下面看到的2个图都是修改MD5免杀云库后的,且没有弹框,没有日志。而入库的确实被自动阻止了。
这个就奇怪了,入库后明明能监控到修改计划任务啊,没入库就监控不到啊?
x64hips
头像被屏蔽
发表于 2010-8-29 18:00:19 | 显示全部楼层
20号,入库后自动阻止了计划任务,但是修改MD5后,成功修改计划任务,360云和XUETR均能看到,看来入库和不入 ...
leisong 发表于 2010.8.29 17:44

计划任务在后期版本会和图标管理合并,统一处理

leisong
 楼主| 发表于 2010-8-29 18:04:22 | 显示全部楼层
本帖最后由 leisong 于 2010.8.29 18:10 编辑
开始菜单根目录快捷方式拦截(17 18 19 27)
jinzijie 发表于 2010.8.28 13:15

昨晚这几个样本根本不是修改快捷方式的,你有没搞错了哦,27是重启的

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:50 , Processed in 0.093486 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表