标题:
穿微点的新思路 成功感染微点已识别程序
[打印本页]
作者:
点饭的百度空间
时间:
2008-11-14 11:35
标题:
穿微点的新思路 成功感染微点已识别程序
----------------------------------------------------------------------
微点隔离区还原出来的360
________________________________
怪不得找不到源头 原来病毒成功感染了微点已识别的可信程序 利用已识别程序不断联网下载病毒:
[
Last edited by 点饭的百度空间 on 2008-11-20 at 00:25
]
作者:
Legend
时间:
2008-11-14 11:44
感谢楼主的及时反馈,请您将此样本及时发送到我们
virus@micropoint.com.cn
邮箱,随信请附带此贴链接和技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)。
作者:
koo
时间:
2008-11-14 11:45
被感染了的已识别程序,微点还认识吗?
作者:
点饭的百度空间
时间:
2008-11-14 12:04
微点反病毒 样本他们会有的
“被感染了的已识别程序,微点还认识吗? ”
看图
[
Last edited by 点饭的百度空间 on 2008-11-14 at 12:39
]
作者:
koo
时间:
2008-11-14 16:56
看到了,给个样本的下载地址,也测试测试
作者:
点饭的百度空间
时间:
2008-11-14 17:48
地址给你了
作者:
threeswords
时间:
2008-11-15 11:03
奇怪,微点白名单里的程序被感染了,那MD5或者其他校验值会改变啊,校验的时候肯定通不过吧,微点白名单应该会将其剔除吧。
是不是被病毒线程注入了,而360本身并非被感染?然后通过360下载病毒木马?
楼主有没有校验过MD5呢?
作者:
点饭的百度空间
时间:
2008-11-15 21:48
看图:
上面的360和下面被感染的360 MD5不一样!
这说明微点的可信白名单程序不是用MD5判断的。 我觉得应该是指定路径+提取程序的特征码(就和提取病毒方法的一样)
我还发现一个貌似可以用来过微点的方法 利用程序替换法过微点~ 替换后微点一点反应都没有 我原创的:D
不过上次做的相关截图找不到了
作者:
独孤不平
时间:
2008-11-15 23:51
Quote:
我原创的
原创难得。。。。
作者:
threeswords
时间:
2008-11-16 19:23
这有点晕啊 如果按照特征码的思路来做白名单很不可靠啊
04几个月前发了个安全公告MP08-006,内容是“微点的默认可信列表中存在过多项目。这会导致病毒制作者伪造其中某项.这是点饭技术小组发现的第二个可以绕过微点包括防火墙在内的全部监控.”
感觉跟楼主的测试过程和结果很相似,不知道是否就是那个漏洞?
那个漏洞到目前还没有修复,看来是项很大的工作,要是更改白名单验证方式,估计白名单体积要成倍增加了。。。。。。
作者:
点饭的百度空间
时间:
2008-11-17 18:21
Quote:
Originally posted by
threeswords
at 2008-11-16 19:23:
这有点晕啊 如果按照特征码的思路来做白名单很不可靠啊
04几个月前发了个安全公告MP08-006,内容是“微点的默认可信列表中存在过多项目。这会导致病毒制作者伪造其中某项.这是点饭技术小组发现的第二个可以绕过 ...
不是那个安全公告MP08-006漏洞 那个已经解决了
作者:
gudan
时间:
2008-11-17 20:21
噢,想到一种非常好的方法,测试一下
作者:
xiaotuzi
时间:
2008-11-19 09:18
标题:
翠微居病毒就是能绕过微点!
我中了此病毒!微点对病毒启动项没有拦截!
附件 1:
ScreenShot003.jpg
(2008-11-19 09:18, 91.11 K,下载次数: 72)
作者:
点饭的百度空间
时间:
2008-11-20 00:24
Quote:
Originally posted by
xiaotuzi
at 2008-11-19 09:18:
我中了此病毒!微点对病毒启动项没有拦截!
这个病毒预升级新版应该已经完美解决了。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
ScreenShot003.jpg (2008-11-19 09:18, 91.11 K,下载次数: 72)
