不少规则存在的两个漏洞

忧郁的迷糊酱

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls——病毒自启动方式。各位通用规则作者注意下,不少人都没注意到这里。(不过那些*\Control\Session Manager\*的我不解，那下面很多东西的，一个*真的好吗……这样是不是有时候会挺有效的降低报警的准确性？)

顺便说下对于这一阵子论坛里提到的支付宝欺诈木马的防御，有些规则也被P了(单纯的那个UcTool.exe，病毒本体动作实在太大)。当然禁运流永远都是最安全的...这里只是提醒下,下次木马绑在一个正常程序里呢?一般人都不会想到禁运正常程序(伪)吧.还是考虑下执行起来之后的防御手段吧。比如全局*禁止对其他进程的操作，然后慢慢一层层放权。换句话说，就是见识过这个样本后又没有人想过对浏览器及类似可以被利用的程序的防御呢？

样本：http://bbs.kafan.cn/thread-926456-1-1.html

onlyangli

不懂，等待高人解答

zxzy

忧郁的迷糊酱 发表于 2011-3-12 13:32
病毒自启动方式.不解释,各位通用规则作者注意下,不少人都没注意到这里。（当然那些*\Control\Session Manag ...

支付宝欺诈木马的防御,能否给个传送门?

秦王扫六合

zxzy 发表于 2011-3-12 14:10
支付宝欺诈木马的防御,能否给个传送门?

http://bbs.kafan.cn/thread-926814-1-1.html
传送门
我很看好你哦

zxzy

秦王扫六合 发表于 2011-3-12 15:21
http://bbs.kafan.cn/thread-926814-1-1.html
传送门
我很看好你哦

感谢提供~

zxzy

只找到一个可以下载的样本,运行后就提示访问秒杀接口...接着就被全局规则给无视了..修改Windows目录的13473390.dll和创建taskkill进程..

忧郁的迷糊酱

糟糕，帖子前面的注册表键值被编辑没了……现在人在外面，回去改下。

忧郁的迷糊酱

zxzy 发表于 2011-3-12 15:36
只找到一个可以下载的样本,运行后就提示访问秒杀接口...接着就被全局规则给无视了..修改Windows目录的 ...

访问秒杀接口……我汗，所有程序（包括正常程序）都需要访问那个接口的，不能作为运行后的防御手段，换句话说，这也是禁运的一种。

但是日常中使用的那些软件不知道是否安全的（比如游戏修改器、各种实用小工具），禁运不是很实用。

忧郁的迷糊酱

回复 6楼 zxzy 的帖子

样本：http://bbs.kafan.cn/thread-926456-1-1.html

zxzy

忧郁的迷糊酱 发表于 2011-3-12 15:42
访问秒杀接口……我汗，所有程序（包括正常程序）都需要访问那个接口的，不能作为运行后的防御手段，换句 ...

那接口我只是哪来让使用者判断是否有未知的程序运行的罢了~