Board logo

标题: 我是怎么成为肉鸡的 微点主防失效 智能防火墙存在致命漏洞!!!!!!!!!!!!!!!!!!!!!!!!!! [打印本页]
作者: fpf2003     时间: 2012-2-6 15:31    标题: 我是怎么成为肉鸡的 微点主防失效 智能防火墙存在致命漏洞!!!!!!!!!!!!!!!!!!!!!!!!!!

心情比较复杂  不知从何说起   那就从头说吧


我是从07年开始接触应用远控程序的那个时候正是灰鸽子满世界飞的时候,也是各大杀毒软件全力追杀的时候  从 那时候到现在 用过的  也可以说是玩过的远程控制软件非常多 我自己用过 鸽子,夜莺,波尔,彩虹,千里眼,网络人等得十几种吧,当然我用的是vip版本也就是木马服务端是免杀的 能够躲过杀毒软件的
在实际应用中像鸽子确实不错能够稳定上线  最多的时候也上过几百只肉鸡,现在专注工作了  很少在玩这些东西,自己玩过远控的人都不希望自己成为别人的肉鸡,所以在自己电脑的防护上也就特别留意小心
      我用过的杀软很多从国内到国外的,在免杀的远控远控木马面前杀软永远是滞后的,所以我选择了主动防御,从微点的到瑞星主防,360主防等等,我发现微点主动防御在拦截免杀木马方面确实给力,为了验证微点主防效果我从卡饭,剑盟,各大论坛,和其他途径上搜集了很多免杀的新鲜的木马(当然我已知道他们是木马)首先我把微点主防的智能防火墙设置成 规则五   适用访问互联网,经过大量不同牌子的木马服务端测试,归结为两类:大部分在运行的时候微点主防报未知木马,剩下的微点主防虽没有报未知木马  但是 其智能防火墙却报警提示有异常程序访问网络,自动拦截,测试下来日志显示拦截和发现木马达300次之多,测试中控制端没有上线,我自己的信心也大增,接下来我自己也测试过病毒类的,只有很少能穿过,但对远控类木马拦截完美。但发生了 下面的事
     昨天晚上在*点交流群中有个叫:**:的叫卖远控木马,我说你的吗能过微点主防和智能防火墙么,他说秒杀世界杀毒网  和主动防御  ,我说别搞笑了,你马免杀我信  ,过微点主防和防火墙别逗了,好歹哥也玩过远控什么样的吗没见过,结果我们吵了起来,他把他的吗给我传来过来,我也不怕,照样运行,当然在运行前我特意在世界杀毒网上测了下过来36款中的34款,国内的全国,确实牛,我才运行了几秒钟那边就把把我 上前的截图和电脑屏幕发过来了---终于成为别人肉鸡了,问题是在此过程中微点主防无提示,智能防火墙规则五    无提示 ,在微点主防界面程序监控其他程序监控中竟然找不到  次马!!反倒是360提示无数字签名 ,不过我还是在他那上线了,此人品行不良在群里嚷嚷要给我清洗硬盘,迫于紧急 我 只好一键还原了。样本没有留下,哎  真  。晕  啊
     后续自我调查 :  我 发现能过微点(包括过主防和其职能防火墙)达马大有存在,这并不是个例,大家知道网上叫卖远控木马的大有人在,我以买家的身份经过交流得知  很多卖家的广告就是  过主动 秒杀世界杀毒网    问题是  他们确实做到了,更关键的是他们支持测试 ,确实能过,我问他们是怎么过的,他们罗里啰嗦的就一个意思,微点智能防火墙在规则设置上有致命漏洞,他们能通过技术手段成功的欺骗过微点的防火墙,而且在微点主界面上很难发现其踪迹,因为在其他软件程序监控中根本不显示。他们的上线肉鸡竟有5000多只里边不乏微点用户   真晕啊 真是应了句老话  道高一尺魔高一丈啊
    个人建议;有的网友说我没有样本我只记得他那个马是165k大小的,就是上报样本又能怎样,杀毒厂商提取个特征码更新病毒库,没用的  对木马免杀者来说只需几分钟就能重新免杀,从技术上更新智能防火墙才能从根本上解决问题,我有个建议;我们可以购买他们的木马(这点投资对微点来说应该算不了什么吧,但却关系到广大微点用户)既然他们能过说明他们对微点的防御机理非常精通,把这些木马提供给微点的工程师来分析解决,对其进行升级才是根治之道啊
   情况就是这么个情况,希望有人尽快反映给微点工程专家们,也希望微点主防作为国内第一品牌技术越来越好

[ Last edited by fpf2003 on 2012-2-6 at 16:24 ]
作者: Legend     时间: 2012-2-6 15:33
感谢楼主对微点的支持,楼主如果手头有或者通过某些途径能够要到过微点的木马,麻烦楼主将其发到virus@micropoint.com.cn,我们具体分析测试看是否像那些黑客描述的。
作者: www888888     时间: 2012-2-6 16:12
是啊,版主说的对,有木马就发。彻底封杀!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
作者: 932356023     时间: 2012-2-6 16:28
这句"就是上报样本又能怎样,杀毒厂商提取个特征码更新病毒库,没用的"错了。
样本可以用来提取特征码,也能用来分析行为更新特征库。
那些木马病毒是微点防火墙规则的逻辑错误或者因为为了减少弹框询问从而导致规则比较松而钻空子的,不需要精通原理。如果点饭自觉上报样本或者更多人能付费支持微点,那么收购样本也是可能的。

[ Last edited by 932356023 on 2012-2-6 at 16:33 ]
作者: 十分一     时间: 2012-2-7 12:28
病毒玩起猥琐,所有防毒,杀毒都是浮云,不过都是暂时,可惜就是黑客就是利用这一点就足够。
作者: 竹之恋     时间: 2012-2-27 15:17
不错啊,学习了,谢谢
作者: weidianwxl     时间: 2012-2-29 12:10
了解了,谢谢楼主了。

[ Last edited by weidianwxl on 2012-2-29 at 12:37 ]
作者: userid     时间: 2012-7-29 11:18
可以尝试这样的手段:
更改安全软件的配置文件信息,而如果主界面不显示变化,
,,
我也不太懂,打个比方:如果更改了,微点的防火墙规则,或者白名单规章,
悄悄地修改,,有没有可能性,



以前我用小公司的安全小软件,,白名单文件,病毒库文件,被手工修改后,
它不如自动检测文件的变化的,,,就那样破坏了,安全软件,


微点安装目录,有权限,,每个文件权限,,
估计,也只能,微点“本身”,才能“操作”微点,
正常替换的方式也不能覆盖微点的文件罢,
作者: gkhgjtyu     时间: 2012-9-1 16:32
喝茶就可以拉。NE美白茶效果蛮好的。全身都会白,而且还不反弹。没有副作用呢。呵呵。乐购时尚网http://www.letgogo.com/#r-pgldd有卖呀,可以去看看。ldd



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn