希望360的主防和云查杀增强文件关联的防御和修复

leisong

http://bbs.kafan.cn/forum-viewthread-tid-846811-highlight-%D0%DC%C3%A8.html
此帖样本，关键动作360可防御，只是漏了2个文件关联不防，云查杀也不修复

日志如下

时间
操作
说明
次数
12:42:01
自动阻止
修改 文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\[]
注册表内容：exefile
进程：D:\88888\Panda0.exe
12:42:01
自动阻止
修改 文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\[]
注册表内容：jpegfile
进程：D:\88888\Panda0.exe
12:42:01
已阻止
修改 开机启动项
1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[Panda0.exe]
注册表内容：D:\88888\Panda0.exe
进程：D:\88888\Panda0.exe
12:41:55
已阻止
修改 文件关联
1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon\[]
注册表内容：C:\windows\system32\bzdhz.ico
进程：D:\88888\Panda0.exe


===================

还有2个文件关联.DOC和.TXT主防不防，云查杀也只修复.EXE。其它不修复。

七宝

反馈到微群了

Tron

这个不是修改文件关联，应该是一种恶作剧方式，将.LNK的关联改为EXE的，将.EXE文件的关联改为JPG的，对用户机器没有什么实质危害，也不会引发木马执行

这个可能是因为doc和txt的文本编辑器太多了，不好防，要是随便装个notepad++都要弹窗，可能会怨声载道

leisong

回复 3楼 Tron 的帖子

导致的结果是相关文件都打不开了，你强调的是没有木马危害，其它危害还是有的，防了不是更好，也不会影响正常程序使用
系统修复是否也相应加强下

Tron

leisong 发表于 2011-3-29 15:43
回复 3楼 Tron 的帖子

导致的结果是相关文件都打不开了，你强调的是没有木马危害，其它危害还是有的，防了 ...

还是会影响的，尤其是这种方式的，防得不是越多越好。

另外这种只是恶作剧形式的，不会有长远的流传趋势。

fzq198776

leisong 发表于 2011-3-29 15:31
http://bbs.kafan.cn/forum-viewthread-tid-846811-highlight-%D0%DC%C3%A8.html
此帖样本，关键动作360可 ...

小星星2011 直接报”未知木马“然后直接KO~~

leisong

回复 4楼 单身熟男 的帖子

这个不是普通的修改到相关的编辑器，而是彻底打乱打不开了

再说不是有庞大的云端白名单来保证易用性的嘛

leisong

回复 7楼 fzq198776 的帖子

关键是文件关联有没改掉，多步分析的弊端以前碰到很多的，病毒主体和衍生物都删除了，结果部分恶意修改却得逞并无法回滚了，这就是实机多步分析不可避免的弊端，SONAR要好一些

colorful_days

fzq198776 发表于 2011-3-29 15:46
小星星2011 直接报”未知木马“然后直接KO~~

乃可是杀软来回玩啊