微点主动防御软件测试[09月测试][更新至10.09.29]检测率[65.71%]

显示全部楼层 · 发表于 2010-9-8 20:43:38

8号微点主防不报的一个简单分析

_2625 (5)  运行后，程序立即退出，未创建衍生物，未写注册表，微点不报。
_2625 (6)  运行后，立即联网，但未从远端下载文件下来，未创建衍生物，未写注册表，微点不报。
_2625 (8)  运行后，创建衍生物，衍生物被微点报可疑，并在桌面创建“淘宝网”的快捷方式，源程序微点不报。
_2625 (9)  运行后，弹出一个DOS窗口，并提示是16位MS-DOS子系统，微点不报。
_2625 (11)  运行后，立即联网，当下载到20几K的时候，虚拟机系统蓝屏，微点不报。
_2625 (15)  运行后，创建衍生物后，微点对衍生物报可疑程序，源程序微点不报。
_2625 (20)  运行后，提示程序出错，未创建衍生物，未写注册表，微点不报

显示全部楼层 · 发表于 2010-9-9 21:37:20

9号微点主防不报的一个简单分析

smsss.exe 运行后，程序立即联网，但未下载文件到本机，未创建衍生物，未写注册表，微点不报。
smsss (2).exe  运行后，源程序立即退出，衍生物DLL被加载起来后并联网，但联网未成功，微点不报。
smsss (12).exe  运行后，程序立即退出，未创建衍生物，未写注册表，微点不报。
smsss (13).exe  运行后，立即联网，联网失败，源程序退出，未创建衍生物，未写注册表，微点不报。
smsss (14).exe  运行后，提示程序出错，未创建衍生物，未写注册表，微点不报。
smsss (15).exe  立即联网，当下载到100几K的时候，虚拟机系统蓝屏，微点不报。
smsss (21).exe  运行后，立即联网，联网失败，源程序退出，未创建衍生物，未写注册表，微点不报。
smsss (31).exe  运行后，有创建衍生物，其中一个被微点报已知广告程序，并在桌面创建“淘宝网”网站快捷方式，源程序微点不报。

显示全部楼层 · 发表于 2010-9-9 22:04:07

本帖最后由 jefffire 于 2010.9.9 22:06 编辑

9号微点主防不报的一个简单分析

smsss.exe 运行后，程序立即联网，但未下载文件到本机，未创建衍生物，未写注册表，微点不报。
smsss (2).exe  运行后，源程序立即退出，衍生物DLL被加载起来后并联网，但联网未成功，微点不报。
smsss (12).exe  运行后，程序立即退出，未创建衍生物，未写注册表，微点不报。
smsss (13).exe  运行后，立即联网，联网失败，源程序退出，未创建衍生物，未写注册表，微点不报。
smsss (14).exe  运行后，提示程序出错，未创建衍生物，未写注册表，微点不报。
smsss (15).exe  立即联网，当下载到100几K的时候，虚拟机系统蓝屏，微点不报。
smsss (21).exe  运行后，立即联网，联网失败，源程序退出，未创建衍生物，未写注册表，微点不报。
smsss (31).exe  运行后，有创建衍生物，其中一个被微点报已知广告程序，并在桌面创建“淘宝网”网站快捷方式，源程序微点不报。
啊弥陀佛发表于 2010.9.9 21:37

smsss.exe 是个明显的钓鱼程序，谎称QQ中奖。显然是有社会危害性的

。
smsss (2).exe 先是创建dll注入IE浏览器联网，然后在C盘根目录创建bat文件。最关键的是该程序调用CMD执行该bat，然后删除。由于bat一瞬间被删掉了所以我没分析出bat的内容。

先分析两个，有空再看看剩余的。

显示全部楼层 · 发表于 2010-9-9 22:08:20

不错不错祖国的希望

显示全部楼层 · 发表于 2010-9-9 22:42:21

本帖最后由 jefffire 于 2010.9.9 22:43 编辑

9号微点主防不报的一个简单分析

smsss.exe 运行后，程序立即联网，但未下载文件到本机，未创建衍生物， ...
啊弥陀佛发表于 2010.9.9 21:37

smsss (12).exe 这个程序运行后，自动退出。根据推出前的一系列动作来看，应该是个环境判断机制，可能需要装什么东西才能触发。

smsss (13).exe 运行中途出错，调用Doctor Watson错误报告程序生成错误报告后退出。

显示全部楼层 · 发表于 2010-9-9 23:21:15

不错，使用中。

显示全部楼层 · 发表于 2010-9-10 08:07:39

smsss (12).exe 这个程序运行后，自动退出。根据推出前的一系列动作来看，应该是个环境判断机制，可能需要 ...
jefffire 发表于 2010.9.9 22:42

谢谢jefffire的帮忙分析，钓鱼这样的东西由于没有对用户本机进行破坏，所以微点没报可以理解，上报给微点提取特征吧，一样杀

显示全部楼层 · 发表于 2010-9-10 09:42:28

谢谢jefffire的帮忙分析，钓鱼这样的东西由于没有对用户本机进行破坏，所以微点没报可以理解，上报给微点 ...
啊弥陀佛发表于 2010.9.10 08:07

这个钓鱼确实不属于主防拦截范畴。但是smsss (2).exe显然是过了，用的是批处理大法。

显示全部楼层 · 发表于 2010-9-10 10:22:37

本帖最后由啊弥陀佛于 2010.9.10 10:24 编辑

这个钓鱼确实不属于主防拦截范畴。但是smsss (2).exe显然是过了，用的是批处理大法。
jefffire 发表于 2010.9.10 09:42

微点也没有记录批处理文件，这个批处理文件不知道删除啥了，应该不会是关键系统文件，不然微点会报可疑，没报的都上报微点了已经

显示全部楼层 · 发表于 2010-9-10 10:35:24

微点也没有记录批处理文件，这个批处理文件不知道删除啥了，应该不会是关键系统文件，不然微点会报可疑， ...
啊弥陀佛发表于 2010.9.10 10:22

啊~~我没说清楚。这个批处理执行完毕后就删除了自身，至于这个批处理干了点啥，我没追踪出来。

[微点] 微点主动防御软件测试[09月测试][更新至10.09.29]检测率[65.71%]