支付宝钓鱼诈骗样本--nis2011悲剧了（更新傲游、搜狗浏览器）

xiaozi55

谢谢提醒 我也是诺顿2011  希望快点解决

wjcharles

忧郁的迷糊酱 发表于 2011-3-11 02:16
回复 98楼 wjcharles 的帖子

刚刚看错了，修改下。不用一定要依靠插Dll来完成对浏览器的控制，有一个在运 ...

微点可能是根据文件释放和联网判断的，这也体现一般hips只能对单一行为判断的弱点。

不知你说的最后一个截图是哪一幅，其实各浏览器对金锁的意义也稍有不同，比如傲游貌似只要地址栏是https开头都会有金锁，而ie可能还有别的验证方式，搜狗干脆没有金锁


撇开攻击的细节不说，我最佩服的是对整个攻击过程架构的设计，找准了支付过程中最容易突破的一环，绕过了https对通信过程的严格加密和各银行对网银密码的重重保护，直接对浏览器下手，采用一个合法的订单替换原有的合法订单，只需一个页面地址有异常（傲游还没反应），其他时间都在正常交易界面上。

忧郁的迷糊酱

"一般hips只能对单一行为判断的弱点"这倒不是弱点,只是很少有规则的作者想到去防御这一点。换句话说就是经验不足。

PS：刚刚在虚拟机里面玩了一把瑞星，RIS2011 2011.2.24更新的版本(虚拟机是那天装的瑞星)成功防御。

認真就輸了！

有点晕

認真就輸了！

回复 6楼 futureisfyl 的帖子

强哦，卡巴

wmw921

哇。这个利害，以后用网银要小心了。

z069

回复 1楼 wjcharles 的帖子

样本区我发那个样本的时候，已经是我上报360、卡巴、金山和ESET之后的事了
我上报了大约6个小时后，看到基本都杀了，才放出来的，所以后面回帖的反馈不能太作准，回帖里说报了的，大多是我上报过的


360的QVM我第一次测试的时候，无论扫描还是运行都没反应，上报后过了4个小时，QVM报了，我保留怀疑

金山直到第二天还没报，网页也显示正在处理，第三天才报

ESET最强启发开始也没报，而微点也是没报，看我那个帖子就知道，我上传了微点，他们回复后加了库
我测试里，只有小红伞和IK第一次就报了，小红伞是最严格模式，IK是默认

诺顿我上报过了，但是第二天试还是没反应，诺顿有时候真是固执得我脑袋疼，我有几个误报，无数次上报，依然照杀，哎

wjcharles

z069 发表于 2011-3-13 14:38
回复 1楼 wjcharles 的帖子

样本区我发那个样本的时候，已经是我上报360、卡巴、金山和ESET之后的事了

那可以算是一个合格的一次性木马了，主流杀软、主防全面免杀（包括360网购模式在正常使用情况下），第一批攻击对象毫无反抗之力中招，攻击者得到可观利润，木马完成任务，流出后被上报查杀-----这时对攻击者已经没有影响了。。。

传统特征码肯定悲剧，云也很难发挥作用，主防----如果攻击手段较新也难以防御。。。难道只有hips的疯狂模式？

ps，昨天样本区有一个类似的，这次诺顿反应总算快了点，今天就入库了，但昨晚sonar依旧被过，该被骗钱的还是被骗。。。铁壳对大陆市场还是不重视啊。。。

finaldxl

很强悍，学习个，对淘宝病毒有了新的认识

ma870840503

这个一定要顶了，我用的是Norton 2011.