瑞星卡卡安全论坛

实测白程序加载恶意dll过主防

最近大家一直在讨论病毒利用白文件加载恶意dll过主流杀软主动防御的新型方法，以后这种攻击类型肯定会越来越多，只靠简单的

特征入库肯定没用，既然是盗号木马只要成功一次就够了，像什么事后查杀的智能引擎也只能是过后补救，至于号有没有被盗就看运

气了昨天正好看到有这样类型的样本，很多主流杀软主防如卡巴、微 点等都被突破了，今天测试一下瑞星2012版。

一楼是样本测试

二楼是样本详细的行为动作日志

三楼是样本（设置权限为5，方便大家测试，有安装2012防火墙的朋友可以测一下看联网行为是否放行）

这个样本集成了很多“先进”技术：

首先采用压缩包炸 弹：

解压前218KB：

解压前219KB.jpg (10.45 K)

2012-3-1 11:37:13

解压后骤增到20.4MB，这对传统云鉴定是个挑战

解压后20.4MB压缩包炸弹.jpg (87.14 K)

2012-3-1 11:37:13

其中解压后一个是暴风影音的正常文件，另一个是病毒dll:

样本说明.jpg (137.35 K)

2012-3-1 11:37:13

给出瑞星版本信息：24.00.02.60（最新版本）

瑞星版本信息.jpg (258.14 K)

2012-3-1 11:37:13

扫描没有发现威胁 ：

扫描未报毒.jpg (231.05 K)

2012-3-1 12:50:56

进入测试的重点，双击运行

由于是暴风影音文件所以主防没有任何拦截，加载成功（由于没有安装防火墙，不知联网行为是否能拦截到，个人感觉即使拦截到估

计也会被云端放行）

病毒成功运行：

主防被穿透.jpg (394.93 K)

2012-3-1 12:50:56

360卫士8.6beta3云主防3.0完美拦截

1.运行后拦截键盘记录器：

1拦截键盘记录.jpg (99.73 K)

2012-3-1 12:50:56

2.拦截联网行为：

2联网拦截.jpg (96.05 K)

2012-3-1 12:50:56

3.联网如果点放行，防黑墙继续提示：

3防黑墙拦截.jpg (100.87 K)

2012-3-1 12:50:56

最后360完美拦截，可以看到如果光靠纯行为分析对这种白文件加载dll根本无效！以后这种攻击类型一定会被广为使用，希望重新加

入的系统加固功能能有针对性的进行拦截!

病毒详细行为动作其中最主要的是键盘记录器、联网远控，但其借用白文件启动dll主流杀软都是放过的，这点需要系统加固和防火

墙共同协同才能进行防御。

2012-2-2912:51:35    创建新进程
允许
进程:c:\windows\explorer.exe
目标:e:\downloads\baofengupdates\bfupdate.exe
命令行:"E:\downloads\BAOFENGUPDATES\bfUpdate.exe"
规则: [应用程序]*

2012-2-29 12:51:53    修改注册表值
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Common Programs
值:C:\Documents and Settings\All Users\「开始」菜单\程序
规则: [应用程序]* -> [注册表]*

2012-2-29 12:51:58    创建文件夹
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: C:\Documentsand Settings\All Users\「开始」菜单\程序\系统升级
规则: [应用程序]* -> [文件]*

2012-2-29 12:52:03    修改注册表值
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Common Templates
值: C:\Documentsand Settings\All Users\Templates
规则: [应用程序]* -> [注册表]*

2012-2-29 12:52:13    创建文件
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标:C:\WINDOWS\system32\billlog.dat
规则: [应用程序]* -> [文件]*

2012-2-29 12:52:15    访问网络
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: TCP [本机 : 1386] ->  [119.121.6.178 : 8080]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-2-29 12:52:19  结束其他进程
允许
进程: e:\downloads\baofengupdates\bfupdate.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-2-29 12:52:26    创建注册表项
允许
进程:e:\downloads\baofengupdates\bfupdate.exe

目标:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
规则: [应用程序]* -> [注册表]*

2012-2-29 12:52:34  创建新进程
允许
进程: e:\downloads\baofengupdates\bfupdate.exe
目标: c:\windows\system32\userinit.exe
命令行: Userinit.exe
规则: [应用程序]*

2012-2-29 12:54:07  底层键盘操作
阻止
进程: e:\downloads\baofengupdates\bfupdate.exe
规则: [应用程序]*

样本上传权限设置为5，以便大家测试，另外安装防火墙的朋友可以看下联网行为是否拦截。


最后建议工程师不要简单入特征库，这种攻击方式会在今后成为主流，入库根本跟不上变种速度，而且还是那句话，盗号木马一旦运行


成功一次就够了，所以系统加固+行为分析+防火墙必须联动才能有效拦截！


解压密码：virus

附件: BAOFENGUPDATES.zip (2012-3-1 15:26:11, 224.30 K)
该附件被下载次数 305

权限已开放，希望工程师跟进一下，这种攻击方式以后将成为主流！

问题已收集反馈。感谢您参与公测活动！