首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[讨论]一个另360杀毒软件无奈的恶性远控木马
发表于: 2014-5-23 11:11 26561

[讨论]一个另360杀毒软件无奈的恶性远控木马

星河 活跃值
2014-5-23 11:11
26561
在网上无意中发现一只远控木马,捆绑在其它正规软件上运行,有数字签名(不过已经被吊销),但是貌似过了360的“白名单”,即使关闭了界面也在后台鬼鬼祟祟的连接主控端,并且设置启动项,但这一切,360均视而不见,就连启动项里,都查看不到这个木马的启动项,传给360论坛里的工作人员,人家只告诉你,“检测无恶意行为”,难道这就是传说中的给钱就过?还是水平不行?还是个超级牛B的病毒?请大家明鉴!

样本下载地址
http://good.gd/3060828.htm

恶性远控,新手勿碰!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (44)
wina
雪    币: 5315
活跃值: (2771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我是路过打酱油的
2014-5-23 11:26
0
安于此生
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
私信
3
白加黑,鉴定完毕...,见正规软件,其后面的行为基本都放行...没什么好分析的,主防抓出行为即可... 正规软件即Loader,木马的主体应该是压缩加密过的,Loader加载shellcode 将木马payload在内存中解压解密,然后将payload注入的系统进程中,连接远程控制端,进行远程受控,...神不知鬼不觉...,  白加黑不外乎以上行为方式的变形...
2014-5-23 11:27
0
yxhbboy
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我去弄下来分析下这个传说中的木马。。。。。
2014-5-23 11:32
0
FthPku
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
下载不了啊,哪个是下载链接??????
2014-5-23 11:37
0
FthPku
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
严重怀疑是给网盘做广告的,根本找不到下载地址。
2014-5-23 11:43
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
天呢,下面有4个下载地址,这位朋友居然看不到哦。

迅雷电信下载  迅雷联通下载  江苏电信下载  河南联通下载

既得网盘就是显示的广告多一点
2014-5-23 12:12
0
ydfivy
雪    币: 579
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
好东西!!!
2014-5-23 12:38
0
FthPku
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
9
点击 迅雷电信下载、迅雷联通下载、江苏电信下载、河南联通下载 是下载 index.html。点击其他的链接 下载的也不是muma.rar
2014-5-23 12:59
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
是你浏览器的问题吧? 我刚刚试了一下,下载是没问题的。
你搜网盘里的其他文件 看看能不能下就知道是不是浏览器的事了
2014-5-23 13:19
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
点击下载时 会弹出一个广告,过了广告就能下载文件了,晕了,这位兄弟,知道你是好心,不过你还是先别下了为好,这木马是远控啊!
2014-5-23 13:21
0
夜Wang
雪    币: 110
活跃值: (194)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
真是够大的。。。
2014-5-23 13:41
0
FthPku
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
13
不好意思,错怪你了。我Chrome一直下不了,用IE就好了。
2014-5-23 13:56
0
不死怨灵
雪    币: 54
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
14
以下截图是楼主所谓“360均视而不见”的具体表现


上传的附件:
2014-5-23 15:22
0
xiaoabing
雪    币: 10
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
不免杀更不用分析了...
2014-5-23 15:25
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
to :不死怨灵
这一定是360更新了,要么我把我和360论坛工作人员的QQ聊天的记录发出来大家看看???工作人员绝对说过“检测无恶意行为”。
2014-5-23 15:33
0
安于此生
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
私信
17
有可能数字的工作人员,抓取了特征码...更新了病毒库...  
2014-5-23 15:34
0
不死怨灵
雪    币: 54
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
18
你用的是杀毒还是卫士?
杀毒检测用的是特征码,就特征码来说,没入库就是“检测无恶意行为”
我截图的绝对不是特征码,是卫士主防报的行为。我测的时候特征码还没入库呢(现在入库了)
2014-5-23 15:40
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
请原谅我纠正一下,客服说的是“未发现可疑行为”。

无论杀毒还是卫士,请 不死怨灵 为大伙解释一下 什么叫“可疑行为”?
2014-5-23 15:51
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
如果偷摸的后台启动都不叫可疑行为了,那我们的计算机世界就太和谐了!

不要和我说可疑行为叫“特征码”
2014-5-23 15:53
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
不过话说回来,360更新却是快。

但是道高一尺 魔高一丈,弄了半天这个木马能任意变种,令一个地址的,360就查不到,哎,靠特征码貌似解决不了问题啊!
2014-5-23 16:04
0
不死怨灵
雪    币: 54
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
22
我说的是杀毒依靠特征码,我没收可疑行为叫特征码
我上面已经说了,我运行的时候还没有特征码入库
截图里是卫士在没有特征码入库的情况下报出来的
你要觉得我截图那几张属于“没发现可疑行为”,那我没辙~
2014-5-23 16:16
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
to :不死怨灵
你在没有任何人质疑的情况下承认了自己是360客服,我承认你们比其他杀软做的好,但是话说回来,即使你是360工作人员,你现在无法回避的是,我发出的压缩文件里面的说明文件里,有一个文件下载地址的文件无论360卫士和杀毒还是免杀状态,那么也就是说,此病毒的作者想怎么变化特征码,你们也就只能靠被动的特征码更新,根本无法根除这种木马不是么?试问  作者勤快点,一晚换个几千特征码,又无人举报......玩的是谁都知道....
2014-5-23 21:31
0
caozhihua
雪    币: 240
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
360 hips对这些敏感行为(创建启动项、创建服务、加载驱动及添加账户等),应该还是会提示的!!!
2014-5-23 22:20
0
星河
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
貌似还真就不提示 敬请试一下rar里面的下载第一个地址文件,两个文件大小几乎相同,但由于特征码等原因,360只能查到1个是病毒,另一个照样放行,不信大家下载试试!
2014-5-23 22:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//