跟风向~囧神再测，某过360卫士主防样本。。。。

显示全部楼层 · 发表于 2010-12-6 23:11:51

本帖最后由 √×√×√√× 于 2010-12-6 23:13 编辑

纯粹跟风，看到Le测试，按捺不住也来试试~
1测地址：
http://bbs.kafan.cn/thread-860164-1-1.html

已修改了MD5过云，同时采用非最新版本，版本是7.61001 H

样本1：
一样一运行就拦截了。不过很奇怪弹出了两次。阻止了一次后，过一会又出现了一次

主防记录，和1测不同，我这里都自动“允许”了。

不过即使都允许了也没什么大碍，除了桌面出现这个一个图标+开了一个奇怪的网页

并没有样本楼主提到的驱动那么夸张（重启前后均一样）：XueTr下

启动项也一切正常：

最后手动删除那个图标都行，重启无异常。后来逆向跟踪了一下（跟第二个样本处理方式相同），都懒得写了。动作无法就是创建几个桌面流氓图标，改个主页，在C:\Program Files\创建个自己的游戏文件夹。并没什么具备破坏性的动作。而且在360卫士的拦截下，桌面也只有那一个图标而已，更何况能手动删除。比起普通的恶意图标程序都差不多。囧

样本2：（同样的测试环境，已修改MD5过云）

拦截无压力：囧，这俩样本太像了吧，喂！

与样本1不同这里体现出了危险性，样本伪装成360写入启动项：

自动拦截和图1差不多，就不上图了。

云反应太过迅速，在我改MD5测试主防2分钟后就又被杀了，囧，我没扫描，也是在运行之后。截图的时候突然就弹了。

囧，依旧没有楼主提到的驱动什么的。。。。重启后XueTr显示一切正常：

进程也正常：

第二个样本或多或少还有点价值，就多写点东西吧。。。。反正也没人看，囧~看到楼主想了解下样本动作，就写点。。。。

逆向追踪结果：

危险写入：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\360安全卫士.lnk

创建大量文件：（并调用这些模块）
C:\Program Files\guawawa\config.ini
C:\Program Files\guawawa\dangdangwang.ico
C:\Program Files\guawawa\erp.ee
C:\Program Files\guawawa\gsu.gg
C:\Program Files\guawawa\haohao.err
C:\Program Files\guawawa\mpc.mm
C:\Program Files\guawawa\mzsg.ico
C:\Program Files\guawawa\rgt.rr
C:\Program Files\guawawa\uid.uu
C:\Program Files\guawawa\taobao.ico
C:\Program Files\guawawa\unins000.dat
C:\Program Files\guawawa\unins000.exe
C:\Program Files\guawawa\zhuoyue.ico

创建大量以is-随机5位名的临时文件
C:\Program Files\guawawa\is-QELTK.tmp
........（上面举例，下面省略号代替）

在用户临时目录（Temp）下创建了一个_shfoldr.dll和一个RegDLL.tmp的临时文件

调用进程：
uid  位置：C:\Program Files\guawawa\uid.uu （这个看似是个压缩包其实不是）
mpc  位置：C:\Program Files\guawawa\mpc.mm
gsu  位置：C:\Program Files\guawawa\gsu.gg
IE进程  （弹出那个网页）
以及C:\Program Files\guawawa\cycle.dll 貌似有插入进程，严重怀疑是run32.但没仔细切入。囧，略过吧

注册表方面还是对自己本身的Uninstall项进行了大量的写入：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FDEA55A9-4B16-40F9-96EE-7551DA48AFE3}_is1\\Inno Setup: Language
.......（下同略）

DLL调用COM接口:
{9BA05972-F6A8-11CF-A442-00A0C90A8F39} 用COM接口后台调IE

囧囧囧，样本不怎么给力，有点失望。测试结果基本和le的1测结果一样。因为卫士版本不同多少存在点误差。我用的是老版本测试。

显示全部楼层 · 发表于 2010-12-6 23:16:41

支持测试，等待进一步回复

显示全部楼层 · 发表于 2010-12-6 23:33:12

支持技术测试帖鄙视某些人恶意捣乱

显示全部楼层 · 发表于 2010-12-6 23:50:18

云安全就是要的反应迅速，过了这么久来测试其实没多少说服力。

显示全部楼层 · 发表于 2010-12-7 00:02:50

lawmaker 发表于 2010-12-6 23:50
云安全就是要的反应迅速，过了这么久来测试其实没多少说服力。

这是纯测主防啊喂，样本都经过更换MD5了，过了云扫描了都

显示全部楼层 · 发表于 2010-12-7 00:16:56

原来是囧神。。。咋不囧囧囧了。。。。

显示全部楼层 · 发表于 2010-12-7 00:57:42

单身熟男发表于 2010-12-7 00:16
原来是囧神。。。咋不囧囧囧了。。。。

囧，帖子上面不是有囧么

显示全部楼层 · 发表于 2010-12-7 11:52:41

回复 4楼 lawmaker 的帖子

我也有同感

显示全部楼层 · 发表于 2010-12-7 12:09:04

过来支持下囧弟

显示全部楼层 · 发表于 2010-12-7 12:38:55

实验是检验真理的唯一标准

[技术原创] 跟风向~囧神再测，某过360卫士主防样本。。。。

本帖子中包含更多资源

评分