微点交流论坛 - 主动防御 - 从金山U盘专杀看微点主防~ （西毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 从金山U盘专杀看微点主防~ （西毒_阿虎）

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 从金山U盘专杀看微点主防~ （西毒_阿虎）

2009年06月28日星期日 16:52

一日心血来潮，装了一个微点，刚巧要用U盘，就开起金山Ｕ盘专杀查杀，结果。。。

回忆刚才的动作，经过反复测试，终于发现了微点萎缩的地方～

微点通过２种方式检测：

１，ｈｏｏｋ了大量ＡＰｉ，在ＡＰＩ前后提取相应特征。（这样就会显示ＸＸＸ病毒）

２，ｈｏｏｋ了大量ＡＰｉ，根据某些ＡＰＩ的组合来报毒（就是发现未知木马的高启发规则）

金山Ｕ盘专杀为什么会触碰微点的高启发呢？

是微点的规则有问题还是金山Ｕ盘专杀有猥琐动作？

经过分析，发现微点拦截了金山Ｕ盘专杀的自更新模块

金山Ｕ盘专杀的自更新模块如下:

１，检查是否有自更新，有了下载新版本到当前目录命名为kavudisk.exe_new

2，将当前进程对应的文件改名，kavudisk.exe改为kavudisk.exe_bak

3，再将新kavudisk.exe_new改为kavudisk.exe执行，原来的自己退出。

注：金山U盘专杀就一个文件，要实现自升级貌似也只有这个方法了吧。

微点的有一个规则是：

1，下载文件

2，当前进程改自己文件的名字

3，有链接网页消息（打开网页）

当同时满足上面3条时，则报未知木马，满足任意2条则不报。（当然其他规则另议，如下载后运行程序等）

上面的规则貌似没有什么问题，因为现在的下载器无非也就这么几个动作，但是金山Ｕ盘专杀没有同时满足３个条件阿为什么会报毒。

仔细回想发现：

由于升级失败（微点导致），Ｕ盘专杀提示“请到官方下载最新版”，我点击了这个链接，直接微点提示未知木马。桌面上发现Ｕ盘专杀下载的最新文件，没有被改名，为什么没有改呢？

后来发现，微点禁止当前程序改自己的名字，发现有改名字的操作直接返回失败，且没有提示。（让我想起了当年ＲＸ卡卡的删邮事件，就是Hook了某个函数，检测没有发现病毒特征直接返回true，且不知一些ＡＰＩ的返回值，不光只有true or false,呵呵扯远了）

发现问题所在咯，就是金山Ｕ盘专杀自更新改名的时候被微点直接ＸＸ掉导致的，微点的这种做法直接影响到了小程序的自更新（后来发现windows清理助手的自更新微点也ＸＸ）。微点阿你XX别人的时候，能不能叫一声啊，哪怕和RX一样都无所谓，直接后面给别人捅黑刀子。。。。

干掉微点的驱动后，自更新成功

上一篇：RX果然狠~
2009年06月26日星期五 21:42

瑞星的主防一直很狠,只要弹框出来,不管是什么都是默认拒绝,而且读15秒,

这次连自己的卡卡也干,真牛１３～

上图，啥都不说～

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-7-12 09:26

han
中级用户

积分 422
发帖 420
注册 2007-6-15

#2

要解决此问题可能只有加白名单了。

※ ※ ※ 本文纯属【han】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-7-12 10:32

黑天使
高级用户

积分 544
发帖 544
注册 2009-6-7

#3 楼上正解

机器毕竟不是人。规则都是人定的。我的白名单里长长一串。

※ ※ ※ 本文纯属【黑天使】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-7-12 11:02

@东方不败@
新手上路

积分 20
发帖 20
注册 2009-7-4

#4

只能够说这个博主没有注意过行业道德，而且分析的也不一定对，这个人貌似金山官方的吧

※ ※ ※ 本文纯属【@东方不败@】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-7-12 14:08

qq646830734
注册用户

积分 96
发帖 96
注册 2009-4-5

#5

要解决此问题可能只有加白名单了

※ ※ ※ 本文纯属【qq646830734】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-7-13 17:06

lsj301
银牌会员

积分 1388
发帖 1382
注册 2009-3-16
来自甘肃兰州

#6

人都有错,何况人的产品,加入白名单就成了,不必上纲上线的.

※ ※ ※ 本文纯属【lsj301】个人意见，与【微点交流论坛】立场无关※ ※ ※

我们一直在默默支持微点!

2009-7-13 19:54

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号