对某过360、红伞、卡巴 “白”文件的再讨论

jefffire

     原帖http://bbs.kafan.cn/thread-863649-1-1.html    websafe.dll 这个dll如果单独来看确实不存在什么特别明显的恶意，用于装载卸载驱动。MJ在贴中也说，这个dll已经入白名单了。红伞的回复，也认为是误报，已经解除（http://bbs.kafan.cn/forum.php?mod=viewthread&tid=863811&page=1&extra=#pid16502460）      本来事至此就告一段落了，但我将此样本发到样本区时，经某大侠提点确实发现有问题（http://bbs.kafan.cn/thread-864540-1-1.html）。

      经研究发现了如下事实。
一、该websafe.dll是从bt玩家乐园  的“开始游戏.exe”文件中释放的,并非超级兔子的websafe.dll。与该dll配套的驱动文件websafe.sys具有劫持浏览器的恶意行为，在百度上搜索，就能略知一二。
http://bbs.3dmgame.com/viewthread.php?tid=1629121&rpid=25153796&ordertype=0&page=1
http://bbs.kaspersky.com.cn/thread-395255-1-1.html
http://blog.huxuan.org/google-search-page-powered/
http://www.baidu.com/s?wd=BT%CD%E6%BC%D2%C0%D6%D4%B0&n=2

二、分析该dll，不仅加驱动方式猥琐，而且其中有明显的webhijack字样




可见这个dll虽自身不具备直接恶意行为，但也是帮凶之一。且没有别的正常软件会调用该dll，故查杀该dll并非是误报。而不查杀该dll，也不能算错误，因为可以将特征码定位到websafe.sys上。 MJ说该dll已经入了白名单了，将该dll入白名单，显然失误了。

附上：bt玩家乐园 的“开始游戏.exe”文件 http://u.115.com/file/t7458c7829#

14L高手说，这个dll最初来自于这里：“网维无忧精灵”http://www.pubgen.net/uploadfile/beta/2010正式版升级包.rar

lwzy2046

deng MJ....

fuqiangwt5213

难道 类似 3DM 的 网页的东西吗？

chaezoy

就是说这个DLL所封装的InstallDriver方法中所要安装的驱动中含有恶意代码？
既然本身不包含恶意代码，加白是不是可以理解呢？
不是很明白，等MJ解释。

bbs2811125

水货不知道要说什么

微微的笑

尾随水货围观

jefffire

chaezoy 发表于 2010-12-13 10:46
就是说这个DLL所封装的InstallDriver方法中所要安装的驱动中含有恶意代码？
既然本身不包含恶意代码，加白 ...

关键在于这个dll只有装载这个恶意驱动的功能，除此之外，没有别的正常软件会用到这个dll。因此加白名单显然是不对的

唯我独尊

任何代码只是一段驻入内存的工具
任何可以结束进程的驱动都可以是病毒
病毒的定义是什么？不知你有没有想过这个问题
如果通过非常规手段加载一个可能是正常驱动的dll，你要判它为恶意行为，那我就没什么好说的
关键还是要看它有什么动作（代码只是工具，仅一个webhjack就了事了？）

chaezoy

回复 7楼 jefffire 的帖子

但是仅从DLL本身分析应该是不会得知其要加载的驱动的具体内容的吧？
而且如何判断其他软件不会用到这个DLL呢？

jefffire

唯我独尊 发表于 2010-12-13 10:50
任何代码只是一段驻入内存的工具
任何可以结束进程的驱动都可以是病毒
病毒的定义是什么？不知你有没有想 ...

显然，这个dll加载的驱动是不正常的。
引用一下某人说的话：
“1：没有正常程序创建或者使用这个dll
2：这个dll的作用是为了装载一个恶意sys

所以，检测这个dll不成问题。

显然你缺乏编程经验，如果我写一个程序，释放了一百个文件，这一百个文件分别执行不同的动作，合起来实现一个恶意程序的功能。但是单独看每个文件，似乎都构不成恶意，那么你就说clean?”