召唤MJ，过数字卫士云主防的样本

jefffire

fzq198776 发表于 2011-3-9 22:26
上次的那个干掉KIS2011的恶意样本，sonar联网能防御，断网就直接悲剧了！！！

我使用的经验来看，sonar和云社区属于弱交互，断网后确实会对一些样本失去防御能力。

迷惘依然

回复 96楼 xiayang1221 的帖子

他当然还玩的。。。

Tron

迷惘依然 发表于 2011-3-9 21:48
这下轮到洪流的小马悲剧了（ZZage从洪流那里拿的小马？、）。。。

云端rnpi系统上线第一天干掉的，其实如果早上线早就发现了

wjcharles

fzq198776 发表于 2011-3-9 21:30
sonar 究竟是动态行为分析还类似于 NOD的启发式扫描啊？？

虚拟启发+行为监控（类似微点）+云

官方还说sonar有人工智能技术，服务器端可以自动学习样本，也可以手动添加规则

爱卡会员

来晚了，学习一下

ma870840503

额，了解一下，第一次见到...

leisong

回复 103楼 Tron 的帖子

7.7.0.1005B还是没有更新对这个样本的防御

Tron

leisong 发表于 2011-3-10 15:26
回复 103楼 Tron 的帖子

7.7.0.1005B还是没有更新对这个样本的防御

昨天已经升级了，没有捆包

fzq198776

Tron 发表于 2011-3-10 15:31
昨天已经升级了，没有捆包

该主题帖里的样本有两个，一个是反vmware虚拟机的，另一个是经过修改后可在vmware里运行的，MJ，你能告诉我踏实如何修改的吗？

Tron

fzq198776 发表于 2011-3-10 15:59
该主题帖里的样本有两个，一个是反vmware虚拟机的，另一个是经过修改后可在vmware里运行的，MJ，你能告诉 ...

跳过相关代码了吧，原始文件函数sub_401D65这里是利用vmware 的backdoor检测是否在VMWARE下运行，把这个跳走就可以了


.text:00401D65
.text:00401D65 sub_401D65      proc near               ; CODE XREF: sub_401DEB+1Cp
.text:00401D65
.text:00401D65 var_1C          = dword ptr -1Ch
.text:00401D65 var_18          = dword ptr -18h
.text:00401D65 var_10          = dword ptr -10h
.text:00401D65 var_4           = dword ptr -4
.text:00401D65
.text:00401D65                 push    ebp
.text:00401D66                 mov     ebp, esp
.text:00401D68                 push    0FFFFFFFFh
.text:00401D6A                 push    offset unk_403470
.text:00401D6F                 push    offset loc_402260
.text:00401D74                 mov     eax, large fs:0
.text:00401D7A                 push    eax
.text:00401D7B                 mov     large fs:0, esp
.text:00401D82                 sub     esp, 0Ch
.text:00401D85                 push    ebx
.text:00401D86                 push    esi
.text:00401D87                 push    edi
.text:00401D88                 mov     [ebp+var_18], esp
.text:00401D8B                 and     [ebp+var_4], 0
.text:00401D8F                 nop
.text:00401D90                 nop
.text:00401D91                 nop
.text:00401D92                 nop
.text:00401D93                 nop
.text:00401D94                 nop
.text:00401D95                 nop
.text:00401D96                 nop
.text:00401D97                 nop
.text:00401D98                 nop
.text:00401D99                 nop
.text:00401D9A                 nop
.text:00401D9B                 nop
.text:00401D9C                 nop
.text:00401D9D                 nop
.text:00401D9E                 nop
.text:00401D9F                 nop
.text:00401DA0                 nop
.text:00401DA1                 nop
.text:00401DA2                 nop
.text:00401DA3                 nop
.text:00401DA4                 push    ebx
.text:00401DA5                 mov     eax, 564D5868h
.text:00401DAA                 mov     ebx, 8685D465h
.text:00401DAF                 mov     ecx, 0Ah
.text:00401DB4                 mov     dx, 5658h
.text:00401DB8                 in      eax, dx
.text:00401DB9                 mov     [ebp+var_1C], ebx
.text:00401DBC                 pop     ebx
.text:00401DBD                 or      [ebp+var_4], 0FFFFFFFFh
.text:00401DC1                 xor     eax, eax
.text:00401DC3                 cmp     [ebp+var_1C], 564D5868h
.text:00401DCA                 setz    al
.text:00401DCD                 jmp     short loc_401DDC