360对挂马网站失守

360 的拦截规则上存在漏洞，虽然QVM的强大识别能力可以拦住EXE变种，但是对另一条线感染的攻击方式完全miss

进入神网，首先是IE启动conhost（这里是第一个拦截点：http://bbs.kafan.cn/forum.php?mo ... 034225&pid=37343685），然后conhost启动taskhost和explorer，explorer注入其他系统进程（第二个拦截点），这一过程360安全卫士没有任何拦截弹窗，紧接着，IE启动加密勒索木马，360安全卫士拦截杀掉该木马，然而这并没有结束……






角落里的taskhost安安静静的想静静，静静是谁我不知道，这并没有毛病，一分钟左右，各种系统程序（估计是被explorer注入的）被启动，并联网，看数字的加速球，CPU累哭了~~尼玛，表天天玩毒网好不？注销之后，没有截图（卡懵逼导致），数字并没有拦截explorer在C:\ProgramData下创建文件夹并生成DLL木马



然后各种系统进程因为被注入恶意代码开始发飙，联网下载木马，CPU狂飙至满格。

总结：
1、该挂马网页采用未知的攻击方式，使IE执行启动其他进程和注入其他进程。这个地方应该研究并加强主防拦截规则
2、explorer注入其他系统进程，全程无视。注入恶意代码这么明显的操作为何主防规则没有反应
3、下载的dll系列木马始终不入库，不入库就不能被QVM学习。其实前几项注入拦不住也就算了，如果最后能把下载来的木马都杀掉也算亡羊补牢，但是360目前只识别和通杀EXE系列变种，dll系列通通miss。关于miss的原因请看我另一篇帖子http://bbs.kafan.cn/thread-2034356-1-1.html

本次测试原帖地址http://bbs.kafan.cn/thread-2034262-1-1.html

我还从墨家哪来要来了挂马网址，麻烦工作人员私信我。@360_Cynthia @ihujianfei   

已经将该问题上报

您好，

方便的话，请您提供一个在线QQ的联系方式，我们会安排技术人员联系您看下。

还好还好，跟进

360fans_uid30335581 发表于 2016-3-24 10:51
您好，

方便的话，请您提供一个在线QQ的联系方式，我们会安排技术人员联系您看下。 ...

我的QQ1257297059

360fans_uid18816111 发表于 2016-3-24 10:43
已经将该问题上报

哥哥，样本和挂马网址都在我这里，你上报给谁啊

360fans_uid71141 发表于 2016-3-24 13:21
哥哥，样本和挂马网址都在我这里，你上报给谁啊

该问题目前有专员已经在看着了。

360fans_uid18816111 发表于 2016-3-24 15:44
该问题目前有专员已经在看着了。

非常感谢，工作人员已经联系我了，网址已发静候佳音。
and  dll系列已经入库

360fans_uid71141 发表于 2016-3-24 17:48
非常感谢，工作人员已经联系我了，网址已发静候佳音。
and  dll系列已经入库

感谢支持！

沧桑浪子 发表于 2016-3-24 18:01
感谢支持！

新的一波dll又来了，360依然是miss

360fans_uid71141 发表于 2016-3-24 22:33
新的一波dll又来了，360依然是miss

那用360安全卫士呢？

沧桑浪子 发表于 2016-3-24 23:16
那用360安全卫士呢？

不就是右键可以诡异扫出，其实根本没入库嘛