微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 穿微点的新思路 成功感染微点已识别程序  

 14  1/2  1  2  > 
作者:
标题: 穿微点的新思路 成功感染微点已识别程序
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  穿微点的新思路 成功感染微点已识别程序



----------------------------------------------------------------------








  
微点隔离区还原出来的360
________________________________

怪不得找不到源头 原来病毒成功感染了微点已识别的可信程序 利用已识别程序不断联网下载病毒:






[ Last edited by 点饭的百度空间 on 2008-11-20 at 00:25 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-11-14 11:35
查看资料  发送邮件  访问主页  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

感谢楼主的及时反馈,请您将此样本及时发送到我们virus@micropoint.com.cn 邮箱,随信请附带此贴链接和技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-11-14 11:44
查看资料  发短消息   编辑帖子
koo
注册用户





积分 332
发帖 327
注册 2007-11-17
#3  

被感染了的已识别程序,微点还认识吗?

※ ※ ※ 本文纯属【koo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-14 11:45
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#4  

微点反病毒 样本他们会有的

“被感染了的已识别程序,微点还认识吗? ”

看图






[ Last edited by 点饭的百度空间 on 2008-11-14 at 12:39 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-11-14 12:04
查看资料  发送邮件  访问主页  发短消息   编辑帖子
koo
注册用户





积分 332
发帖 327
注册 2007-11-17
#5  

看到了,给个样本的下载地址,也测试测试

※ ※ ※ 本文纯属【koo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-14 16:56
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#6  

地址给你了

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-11-14 17:48
查看资料  发送邮件  访问主页  发短消息   编辑帖子
threeswords
中级用户





积分 400
发帖 387
注册 2008-3-25
#7  

奇怪,微点白名单里的程序被感染了,那MD5或者其他校验值会改变啊,校验的时候肯定通不过吧,微点白名单应该会将其剔除吧。

是不是被病毒线程注入了,而360本身并非被感染?然后通过360下载病毒木马?
楼主有没有校验过MD5呢?

※ ※ ※ 本文纯属【threeswords】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-15 11:03
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#8  

看图:
上面的360和下面被感染的360 MD5不一样!

这说明微点的可信白名单程序不是用MD5判断的。 我觉得应该是指定路径+提取程序的特征码(就和提取病毒方法的一样)  


我还发现一个貌似可以用来过微点的方法  利用程序替换法过微点~   替换后微点一点反应都没有 我原创的
不过上次做的相关截图找不到了

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-11-15 21:48
查看资料  发送邮件  访问主页  发短消息   编辑帖子
独孤不平
注册用户





积分 128
发帖 122
注册 2008-10-3
#9  



  Quote:
我原创的

原创难得。。。。

※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-15 23:51
查看资料  发送邮件  发短消息   编辑帖子
threeswords
中级用户





积分 400
发帖 387
注册 2008-3-25
#10  

这有点晕啊 如果按照特征码的思路来做白名单很不可靠啊

04几个月前发了个安全公告MP08-006,内容是“微点的默认可信列表中存在过多项目。这会导致病毒制作者伪造其中某项.这是点饭技术小组发现的第二个可以绕过微点包括防火墙在内的全部监控.”

感觉跟楼主的测试过程和结果很相似,不知道是否就是那个漏洞?

那个漏洞到目前还没有修复,看来是项很大的工作,要是更改白名单验证方式,估计白名单体积要成倍增加了。。。。。。

※ ※ ※ 本文纯属【threeswords】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-16 19:23
查看资料  发短消息   编辑帖子
 14  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号