楼主: leisong
收起左侧

[讨论] 360 7.5 9月平均检测率(响应后)91.02% ,+主防99.47%,修复后+主防100%

   关闭 [复制链接]
leisong
 楼主| 发表于 2010-9-18 20:50:09 | 显示全部楼层
还是在特殊目录有VBE生成
360sandbox
发表于 2010-9-18 20:57:46 | 显示全部楼层
回复

楼上有一个断网的样本,360 7.5.0.1001R最新版,麻烦看一下
leisong 发表于 2010.9.18 18:27


已看了,使用特殊方式破坏系统网络,下周会发布对抗版本,请删除样本 修改标题吧。
leisong
 楼主| 发表于 2010-9-18 21:32:37 | 显示全部楼层
2-4麻烦再看下拦截有没有问题

那个特殊目录是不是禁止写入可执行程序?
360sandbox
发表于 2010-9-18 22:00:31 | 显示全部楼层
2-4麻烦再看下拦截有没有问题

那个特殊目录是不是禁止写入可执行程序?
leisong 发表于 2010.9.18 21:32

2-4这个就是上周那个修改启动文件夹指向的,新版已可拦截。

jinzijie
发表于 2010-9-18 23:18:20 | 显示全部楼层
回到家,AMD 3800+   768内存 ....这几天我表示路过
360sandbox
发表于 2010-9-19 00:29:19 | 显示全部楼层
回复

不改MD5怎么看主防,报毒不算。
这个样本来问题了,衍生物会断网。
你在虚拟机测试一下
leisong 发表于 2010.9.18 18:23


这个样本好像是个外挂吧?用户手动点“开“才会断网,也没有什么恶意行为。。。
jinzijie
发表于 2010-9-19 00:58:59 | 显示全部楼层
回复 376楼 360sandbox  的帖子


    CF外挂.没搞懂断网了也不作恶的...

PS:360SetUpScan.exe这玩意依旧开机出来的嘛- -
leisong
 楼主| 发表于 2010-9-19 09:21:21 | 显示全部楼层
回复 376楼 360sandbox  的帖子


都断网了还不叫恶意行为?但我也搞不懂全面断网了外挂怎么工作?即便它是个木马,它自己怎么联网发送信息?
想来就是做一次性破坏的假外挂。
   
leisong
 楼主| 发表于 2010-9-19 12:25:24 | 显示全部楼层
2-4这个就是上周那个修改启动文件夹指向的,新版已可拦截。
360sandbox 发表于 2010.9.18 22:00

实机再测了一下,这个玩意居然在关机时写启动项的,难怪上次jinzijie测的时候重启前看不到启动项,重启后才看到启动项。
拦截是能拦截了,重启病毒没启动,但垃圾我要手动去删除。这种不应该存在可行性文件的特殊目录可否像系统敏感目录一样拦截写入可执行文件呢?这样不是拦得更彻底一些吗

那个断网的外挂就是拦截写入敏感目录的,本来360已经拦截了,我特地提取出来单独运行才发现能断网。
360sandbox
发表于 2010-9-19 13:08:33 | 显示全部楼层
实机再测了一下,这个玩意居然在关机时写启动项的,难怪上次jinzijie测的时候重启前看不到启动项,重启后 ...
leisong 发表于 2010.9.19 12:25

感谢建议,会加强这个目录的规则

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 12:25 , Processed in 0.099239 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表