传说中的【样本】穿透360【白名单】？

显示全部楼层 · 发表于 2011-5-14 18:00:09

回复 10楼 jefffire 的帖子

生成在哪里?

我在win7下直接运行了

因为我认证没什么危害

显示全部楼层 · 发表于 2011-5-14 18:01:44

HaoZip.dll 这个文件里面貌似有

360.h
360a.h
HaoZip.dll
ok.fc
y25xxxxx.CLL
ycode.dll
yxxxx.CLL

这几个文件

显示全部楼层 · 发表于 2011-5-14 18:06:21

本帖最后由 jefffire 于 2011-5-14 18:12 编辑

z13667152750 发表于 2011-5-14 18:00
回复 10楼 jefffire 的帖子

生成在哪里?

确实有点问题。
改成exe后缀，结果在system32文件夹生成了一堆win98的文件

用7z解压后，运行那个ImgConvert.exe 结果生成了别的，其中一个dll被诺顿删掉了其中那个360.txt其实是一个加密压缩包，运行那个HaoZip.exe后就确实有问题了。

显示全部楼层 · 发表于 2011-5-14 18:12:42

回复 13楼 jefffire 的帖子

ycode.dll是那个无签名的dll文件内的东西

竟然是直接压缩的,非正常dll的pe格式

显示全部楼层 · 发表于 2011-5-14 18:15:24

z13667152750 发表于 2011-5-14 18:12
回复 13楼 jefffire 的帖子

ycode.dll是那个无签名的dll文件内的东西

在win7下这东西好像不行

显示全部楼层 · 发表于 2011-5-14 18:17:00

回复 15楼 jefffire 的帖子

确实不行

向system32文件夹写东西需要管理员权限

那些win98文件不是样本释放的吧?

显示全部楼层 · 发表于 2011-5-14 18:23:56

z13667152750 发表于 2011-5-14 18:17
回复 15楼 jefffire 的帖子

确实不行

显示全部楼层 · 发表于 2011-5-14 19:02:51

z13667152750 发表于 2011-5-14 17:51
exe有签名,但是dll可能有问题

貌似因为压缩过两次导致360网盾下载保护无法识别

只能等下一稳定版有没有改进了，右键扫描有时报，但在样本所在文件夹上右键扫描不一定提示是木马（即使已进库的前提下）

显示全部楼层 · 发表于 2011-5-14 19:03:09

本帖最后由 Tron 于 2011-5-14 19:04 编辑

695580825 发表于 2011-5-14 17:33
您看不到我上面说的

原帖：http://bbs.kafan.cn/thread-982501-1-1.html

楼主又白忙活一场，根本未过主防和网购保镖
测试版本：8.0 BETA

拦截写入启动项（点击看大图）

网购保镖正常报警，好压图片转换器被利用

显示全部楼层 · 发表于 2011-5-14 19:36:02

Tron 发表于 2011-5-14 19:03
楼主又白忙活一场，根本未过主防和网购保镖
测试版本：8.0 BETA

[讨论] 传说中的【样本】穿透360【白名单】？