关于国内区过360主防的样本

√×√×√√×

leisong 发表于 2010-12-29 09:49
如果成功注入并联网的话，卫士主防就失败了，因为拦截注入在单项拦截项目之内，这是最起码的主防拦截能力 ...

我之前7.5版上报的那个样本基本就是利用比较类似的联网方式，覆盖重命名正常程序（不是注入）穿的卫士主防，成功联网。

chaezoy

lwzy2046 发表于 2010-12-29 09:47
确实，报的启发....

chao...这个传VT，有啥结果没？

现在在公司，网络受限制，没法下样本……

leisong

回复 21楼 √×√×√√× 的帖子

破坏别的正常程序，还真不好防啊
要防这个得全盘禁止重命名和替换
现在能防了么？

chaezoy

leisong 发表于 2010-12-29 09:52
云端QVM报毒，应该杀毒和卫士是通用的

你看下日志呢，是否当时测试的时候作为未知上传了，然后测试完反 ...

我测试的可能不标准，是这样的。
我的机器里安装了360卫士和杀毒还有毛豆。
最初样本是过不了云引擎的，为了测试主防修改了MD5。
之后对样本用SD扫描没有发现问题。
然后退出杀毒，禁用毛豆D+开始测试。
其后的过程就如1L所述了，其间毛豆的防火墙有两次提示netview.exe联网，都点击了允许，然后弹出一个QQ安全中心的假form，点击关闭button之后这个进程就结束了，启动项已经拦截，之后重启，对衍生物扫描后对生成的三个文件中的netview.exe报毒（为什么一开始对样本的exe扫描不报呢……）。
现在在公司，昨晚在家里测试的，没法看日志了，不好意思。

√×√×√√×

leisong 发表于 2010-12-29 09:58
回复 21楼 √×√×√√× 的帖子

破坏别的正常程序，还真不好防啊

之前的那个样本是可以防的了，但是不知道同类的能不能拦截。毕竟行为太少了，重命名这样的行为很难拦截。

leisong

回复 24楼 chaezoy 的帖子

测试主防没有完全的标准，所以大家需要讨论，测试贴本身就是一个讨论的平台

只是我个人认为如果危害动作都被阻止了，那么残余进程是不算数的，即便HIPS也是如此

========对衍生物扫描后对生成的三个文件中的netview.exe报毒（为什么一开始对样本的exe扫描不报呢……）======================

所以说需要看上传清单有没有这个文件的上传，如果有就很好解释了，因为这种情况是我经常碰到的

√×√×√√×

测试主防没有完全的标准，所以大家需要讨论，测试贴本身就是一个讨论的平台

只是我个人认为如果危害动作都被阻止了，那么残余进程是不算数的，即便HIPS也是如此

囧，跟踪了一下，基本就看到这些。的确存在联网服务，IP联网位置是香港。。。。，感觉更像跳板。

创建文件：
C:\CFLog\netview.exe
C:\CFLog\51ka.zip （创建后删除）
C:\CFLog\ok.com
C:\CFLog\Startup\随机数.vbs （这个作为启动文件，该脚本文件启动后调用CMD命令启动netview.exe进程）

注册表写入：
HKLM\SOFTWARE\winexe\\katime
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup（添加启动项）
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\\Startup

创建进程：
C:\CFLog\netview.exe （两次）

互联网访问：
TCP出站访问，远程端口80 本地端口1036,1037 IP地址：175.41.16.100  （香港）

创建COM对象：
{00020420-0000-0000-C000-000000000046}  （PSDispatch）
{3CE74DE4-53D3-4D74-8B83-431B3828BA53}  （TF_DisplayAttributeMgr）也就是msctf.dll 有HOOK文本的嫌疑
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}  （shell windows）IE的COME接口
{A4B544A1-438D-4B41-9325-869523E2D6C7}  （TF_CategoryMgr）同样是msctf.dll

本身没有发现有服务创建和释放，注入DLL，貌似一个本体主程序就起到了基本90%的作用

shimishenlan

不错，技术讨论帖，支持，虽然我能看懂的很少。

godhua

期待出全功能的安全卫士

流星小语

回复 14楼 chaezoy 的帖子

微点试了吗