微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 从金山U盘专杀看微点主防~ (西毒_阿虎)  

作者:
标题: 从金山U盘专杀看微点主防~ (西毒_阿虎)
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  从金山U盘专杀看微点主防~ (西毒_阿虎)

2009年06月28日 星期日 16:52

一日心血来潮,装了一个微点,刚巧要用U盘,就开起金山U盘专杀查杀,结果。。。



回忆刚才的动作,经过反复测试,终于发现了微点萎缩的地方~



微点通过2种方式检测:

1,hook了大量APi,在API前后提取相应特征。(这样就会显示XXX病毒)

2,hook了大量APi,根据某些API的组合来报毒(就是发现未知木马的高启发规则)

金山U盘专杀为什么会触碰微点的高启发呢?

是微点的规则有问题还是金山U盘专杀有猥琐动作?

经过分析,发现微点拦截了金山U盘专杀的自更新模块

金山U盘专杀的自更新模块如下:

1,检查是否有自更新,有了下载新版本到当前目录命名为kavudisk.exe_new

2,将当前进程对应的文件改名,kavudisk.exe改为kavudisk.exe_bak

3,再将新kavudisk.exe_new改为kavudisk.exe执行,原来的自己退出。

注:金山U盘专杀就一个文件,要实现自升级貌似也只有这个方法了吧。

微点的有一个规则是:

1,下载文件

2,当前进程改自己文件的名字

3,有链接网页消息(打开网页)

当同时满足上面3条时,则报未知木马,满足任意2条则不报。(当然其他规则另议,如下载后运行程序等)

上面的规则貌似没有什么问题,因为现在的下载器无非也就这么几个动作,但是金山U盘专杀没有同时满足3个条件阿为什么会报毒。

仔细回想发现:



由于升级失败(微点导致),U盘专杀提示“请到官方下载最新版”,我点击了这个链接,直接微点提示未知木马。桌面上发现U盘专杀下载的最新文件,没有被改名,为什么没有改呢?

后来发现,微点禁止当前程序改自己的名字,发现有改名字的操作直接返回失败,且没有提示。(让我想起了当年RX卡卡的删邮事件,就是Hook了某个函数,检测没有发现病毒特征直接返回true,且不知一些API的返回值,不光只有true or false,呵呵扯远了)

发现问题所在咯,就是金山U盘专杀自更新改名的时候被微点直接XX掉导致的,微点的这种做法直接影响到了小程序的自更新(后来发现windows清理助手的自更新微点也XX)。微点阿你XX别人的时候,能不能叫一声啊,哪怕和RX一样都无所谓,直接后面给别人捅黑刀子。。。。

干掉微点的驱动后,自更新成功


上一篇:RX果然狠~
2009年06月26日 星期五 21:42

瑞星的主防一直很狠,只要弹框出来,不管是什么都是默认拒绝,而且读15秒,

这次连自己的卡卡也干,真牛13~

上图,啥都不说~

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-7-12 09:26
查看资料  发送邮件  访问主页  发短消息   编辑帖子
han
中级用户




积分 422
发帖 420
注册 2007-6-15
#2  

要解决此问题可能只有加白名单了。

※ ※ ※ 本文纯属【han】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-12 10:32
查看资料  发短消息   编辑帖子
黑天使
高级用户




积分 544
发帖 544
注册 2009-6-7
#3  楼上正解

机器毕竟不是人。规则都是人定的。我的白名单里长长一串。

※ ※ ※ 本文纯属【黑天使】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-12 11:02
查看资料  发送邮件  发短消息   编辑帖子
@东方不败@
新手上路





积分 20
发帖 20
注册 2009-7-4
#4  

只能够说这个博主没有注意过行业道德,而且分析的也不一定对,这个人貌似金山官方的吧

※ ※ ※ 本文纯属【@东方不败@】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-12 14:08
查看资料  发送邮件  发短消息   编辑帖子
qq646830734
注册用户




积分 96
发帖 96
注册 2009-4-5
#5  

要解决此问题可能只有加白名单了

※ ※ ※ 本文纯属【qq646830734】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-13 17:06
查看资料  发送邮件  发短消息   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#6  

人都有错,何况人的产品,加入白名单就成了,不必上纲上线的.

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-7-13 19:54
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号