miluking2011 - 2012-4-15 20:14:00
先放一个传送门 http://bbs.kafan.cn/thread-1256593-1-1.html
白EXE+黑DLL+DAT架构的新型网购木马。目前没有任何杀软可以奈何该形式木马
其特点为
1.一般采用白EXE+黑DLL+DAT架构
2.用windows自带的记事本(notepad.exe)外联
3.整个钓鱼过程的用户体验更加流畅、真实,与正常支付流程、界面更加相似
4.所有https相关层面的传统网银防护防护基本全部失效,如地址栏的挂锁标志,Verisign的证书验证(即绿色的地址栏)
关于该木马盗取资金的详细过程,上面的卡饭论坛的链接里面有所详细描述。
所以,希望能通过防火墙阻止notepad.exe的外联来达到被盗的效果
当然,手动添加黑名单肯定没有问题
但是对于大多数不懂行的小白来说这是一个重大问题!!尤其是不太懂电脑的父辈。
让瑞星墙简单易用我想这会让瑞星发展的更好!
用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.151 Safari/535.19
networkedition - 2012-4-16 14:11:00
notepad.exe如果联网没有提示嘛?
miluking2011 - 2012-4-16 23:35:00
notepad.exe是不会有联网请求的嘛!要是联网就是病毒的所作所为了
卡饭现在注册的邮箱要求用手机邮箱,搞得我没有权限下载样本了
问题的关键是 问题的关键是 要是跳出个notepad.exe请求联网的弹窗,一般人根本不会知道这是个什么东东。
所以做好的办法是有规则在 默认状态 默认规则 下可以自动拦截notepad.exe的联网行为
这样瑞星会变得更加简单易用
瑞星工程师12 - 2012-4-17 8:51:00
建议已收集反馈。感谢您参与公测活动!
© 2000 - 2024 Rising Corp. Ltd.