楼主: superkill
收起左侧

[讨论] 瑞星的主防确实很强 本人实机测试得出的血汗结果

   关闭 [复制链接]
CP3
发表于 2010-12-27 17:40:21 | 显示全部楼层
楼主开了毒霸的沙箱了吗???
360hips
头像被屏蔽
发表于 2010-12-27 17:41:12 | 显示全部楼层
本帖最后由 360hips 于 2010-12-27 17:43 编辑
superkill 发表于 2010-12-27 17:39
回复 28楼 360hips 的帖子

是吗 这个样本没联网确实不行

360联云是为了防止误报, 减少打扰,不是不能发挥效果,怎么测没入库样本前面很多人都说了,稍微免杀一下就知道了

可以说你目前能见到的样本,360主防都能 100%秒杀, 这才是宇宙第一主防 ,没有什么安全软件可以相比。
这都是每天测试上百上千的新强毒的结果, 相比之下你测个小样本跟过家家没两样
superkill
 楼主| 发表于 2010-12-27 17:47:41 | 显示全部楼层
回复 32楼 360hips 的帖子

我无意贬低任何一款软件
这只是我亲自测试的结果
无任何偏见成分
也请大家不要带着偏见来看
360hips
头像被屏蔽
发表于 2010-12-27 17:50:19 | 显示全部楼层
superkill 发表于 2010-12-27 17:47
回复 32楼 360hips 的帖子

我无意贬低任何一款软件

关键问题在于你的结论是 极其搞笑的, 怎么能不让人偏见呢?哈哈

superkill
 楼主| 发表于 2010-12-27 17:51:56 | 显示全部楼层
回复 34楼 360hips 的帖子

但是不联网360卫士主动防御确实防不住

行为分析-本地行为

1、衍生相同文件到以下目录分别命名为
%Documents and Settings%\当前用户\My Documents\Shells.dll
%Documents and Settings%\当前用户\My Documents\a.ccc
%Documents and Settings%\当前用户\My Documents\c.ccc
%Documents and Settings%\当前用户\My Documents\360netview.dll
%Documents and Settings%\当前用户\My Documents\netview.exe

2、Shells.dll病毒文件分析:衍生a.ccc、c.ccc病毒文件到系统目录下,创建一个类名“MyWindow”的窗口,循环十次查找类名为ConsoleWindowClass的窗体,找到之后将其隐藏,拷贝c.ccc命名为360netview.dll,拷贝a.ccc命名为netview.exe。

3、360netview.dll病毒文件利用了360安全卫士网络查看器的设计缺陷,通过360安全卫士的网络连接查看器(带数字签名)来启动病毒文件,可以绕过绝大多数安全软件的拦截(包括360自身),创建netview.exe进程,获取类名MyWindow的窗口X.Y坐标。

4、病毒循环获取窗口经过2次判断窗口类名是否是internet explorer_server,如果是则调用API函数 来获取IHTMLDocument2*接口,判断当前域名是否是以下支付宝相关域名:
www.alipay.com
taobao.alipay.com
alipay.com
cashier.alipay.com

5、如果是支付宝域名则定位页面中的vbscript.regexp对象并创建对象,病毒利用了正则表达式匹配页面中的字符串:"ft-orange>(.*?)</em>"、pay-all>(.*?)</strong>、"bank-link (.*?)\w\w\w"、"tradeprice">(.*?)</strong>试图将病毒创建的MyWindow窗口嵌入到当前支付宝页面窗口中,试图在支付宝支付页面中嵌入API支付接口代码,使其自动指向招商银行页面、截取用户输入的账号密码以URL方式发送到病毒作者的地址中。

6、加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ShellRun
值: 字符串: "C:\Documents and Settings\a\My Documents\netview.exe"

行为分析-网络行为

将窃取到的支付宝账号信息以以下参数回传:
http://XXX.XXX.XXX.XXX/SendMessg ... word=&BankCode=

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%     当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Settings\Temp
%System32%            系统的 System32文件夹
360hips
头像被屏蔽
发表于 2010-12-27 17:53:32 | 显示全部楼层
本帖最后由 360hips 于 2010-12-27 17:53 编辑
superkill 发表于 2010-12-27 17:51
回复 34楼 360hips 的帖子

但是不联网360卫士主动防御确实防不住

前面已经有人说了吧,联网卫士主防才生效,不像测黑云的可以免杀,还用再说?这个样本早几百年就有了,360也早几百年就能防了
superkill
 楼主| 发表于 2010-12-27 17:55:29 | 显示全部楼层
回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御
联网的当然比其他的强了 这点我也没否认
xsc512
发表于 2010-12-27 17:56:32 | 显示全部楼层
superkill 发表于 2010-12-27 17:47
回复 32楼 360hips 的帖子

我无意贬低任何一款软件

支持
360hips
头像被屏蔽
发表于 2010-12-27 17:56:49 | 显示全部楼层
本帖最后由 360hips 于 2010-12-27 17:57 编辑
superkill 发表于 2010-12-27 17:55
回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御

所以说你的结论是在错误的测试情况下得出的错误结论,我还可以把其他安全软件的组件全删除了,再测试呢
xsc512
发表于 2010-12-27 17:58:18 | 显示全部楼层
superkill 发表于 2010-12-27 17:55
回复 36楼 360hips 的帖子

我都写清楚了 测得是不联网的防御

支持楼主  并且希望楼主不要和 360hips 争执   360hips 语言偏激
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 02:03 , Processed in 0.099607 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表