瑞星的主防确实很强 本人实机测试得出的血汗结果

CP3

楼主开了毒霸的沙箱了吗???

360hips

superkill 发表于 2010-12-27 17:39
回复 28楼 360hips 的帖子

是吗 这个样本没联网确实不行

360联云是为了防止误报， 减少打扰，不是不能发挥效果，怎么测没入库样本前面很多人都说了，稍微免杀一下就知道了

可以说你目前能见到的样本，360主防都能 100%秒杀, 这才是宇宙第一主防 ，没有什么安全软件可以相比。
这都是每天测试上百上千的新强毒的结果， 相比之下你测个小样本跟过家家没两样

superkill

回复 32楼 360hips 的帖子

我无意贬低任何一款软件
这只是我亲自测试的结果
无任何偏见成分
也请大家不要带着偏见来看

360hips

superkill 发表于 2010-12-27 17:47
回复 32楼 360hips 的帖子

我无意贬低任何一款软件

关键问题在于你的结论是 极其搞笑的， 怎么能不让人偏见呢？哈哈

superkill

回复 34楼 360hips 的帖子

但是不联网360卫士主动防御确实防不住

行为分析-本地行为

1、衍生相同文件到以下目录分别命名为
%Documents and Settings%\当前用户\My Documents\Shells.dll
%Documents and Settings%\当前用户\My Documents\a.ccc
%Documents and Settings%\当前用户\My Documents\c.ccc
%Documents and Settings%\当前用户\My Documents\360netview.dll
%Documents and Settings%\当前用户\My Documents\netview.exe

2、Shells.dll病毒文件分析：衍生a.ccc、c.ccc病毒文件到系统目录下，创建一个类名“MyWindow”的窗口，循环十次查找类名为ConsoleWindowClass的窗体，找到之后将其隐藏，拷贝c.ccc命名为360netview.dll，拷贝a.ccc命名为netview.exe。

3、360netview.dll病毒文件利用了360安全卫士网络查看器的设计缺陷，通过360安全卫士的网络连接查看器(带数字签名)来启动病毒文件，可以绕过绝大多数安全软件的拦截(包括360自身)，创建netview.exe进程，获取类名MyWindow的窗口X.Y坐标。

4、病毒循环获取窗口经过2次判断窗口类名是否是internet explorer_server，如果是则调用API函数 来获取IHTMLDocument2*接口，判断当前域名是否是以下支付宝相关域名：
www.alipay.com
taobao.alipay.com
alipay.com
cashier.alipay.com

5、如果是支付宝域名则定位页面中的vbscript.regexp对象并创建对象，病毒利用了正则表达式匹配页面中的字符串："ft-orange>(.*?)</em>"、pay-all>(.*?)</strong>、"bank-link (.*?)\w\w\w"、"tradeprice">(.*?)</strong>试图将病毒创建的MyWindow窗口嵌入到当前支付宝页面窗口中，试图在支付宝支付页面中嵌入API支付接口代码，使其自动指向招商银行页面、截取用户输入的账号密码以URL方式发送到病毒作者的地址中。

6、加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun
值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe"

行为分析-网络行为

将窃取到的支付宝账号信息以以下参数回传：
http://XXX.XXX.XXX.XXX/SendMessg ... word=&BankCode=

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Windir% 　　　　　 　　　　　 WINDODWS所在目录
%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
%Documents and Settings% 　　　 当前用户文档根目录
%Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
%System32% 　　　　　　　　　　 系统的 System32文件夹

360hips

superkill 发表于 2010-12-27 17:51
回复 34楼 360hips 的帖子

但是不联网360卫士主动防御确实防不住

前面已经有人说了吧，联网卫士主防才生效，不像测黑云的可以免杀，还用再说？这个样本早几百年就有了，360也早几百年就能防了

superkill

回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御
联网的当然比其他的强了 这点我也没否认

xsc512

superkill 发表于 2010-12-27 17:47
回复 32楼 360hips 的帖子

我无意贬低任何一款软件

支持

360hips

superkill 发表于 2010-12-27 17:55
回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御

所以说你的结论是在错误的测试情况下得出的错误结论，我还可以把其他安全软件的组件全删除了，再测试呢

xsc512

superkill 发表于 2010-12-27 17:55
回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御

支持楼主  并且希望楼主不要和 360hips 争执   360hips 语言偏激