這樣也可以
我編譯的firefox打開保護模式
完全anti buffer overflow跟anti hook
你就算把所有sandbox關掉也不會怎樣




這個不可能是零天攻擊
也沒有這樣的零天攻擊
如果是你早就知道來源是什麼了

如果透過pdf，你改用第三方閱讀器也沒有用
很多pdf漏洞，早已經是無差別攻擊
你不用adobe reader也一樣會中標
所以你的第三方閱讀器也要時常保持更新
而pdf也是我懷疑的一個散撥方式

在這個case，你不用去考慮它是不是會繞過uac
ring3提權在真實世界根本少見
就算提權了，怎麼利用也是另外一個問題
因為實際上它也沒有繞過uac
使用的也只有當前使用者的操作權限

還有就來源真的是flash好了
你不要以為用了adblock或者ublock之類的東西就萬事ok了
其實你仔細去看那些規則
很多都是隱藏規則，並不是阻擋規則
也因為式隱藏規則的關係
導致adblock的memory leak問題
跟資源佔用比不用adblock時還大
你只是看不見那些被隱藏的flash
實際上它還是在那裡
或者你把瀏覽器改成要用才讀取flash




根本穿不了好嗎...
這病毒我這裡一大堆樣本
而且就算沒有sandbox保護好了
你的av特徵碼沒有，啟發式也漏了

你的ad跟fd也不可能漏

假設透過瀏覽器網頁掛碼或flash好了
也是一個downloader下載病毒母體
通常會伴隨登陸檔的修改
rd也會觸動

像前面那個ptt連結內容提到會開cmd
這個已經是不正常調用了
ad 100%會觸發

這病毒手腳根本就是拙劣來形容
八百年前的黑色炸彈跟熊貓燒香
還比這個高明多了

是我敘事時把此類加密勒索以及一般的樣本混在一起談了，我原意不是指這次流行的勒索程式能突破啥啥的 :ase


另外你提的第三方 pdf reader 也能中標這我倒是第一次聽說 :ase

就算不是這次流行的勒索程式實際上真的能Ring3提昇權限的
病毒或者說程式真的非常少見，近年來Windows內被找出可以
拿到系統權限的漏洞都是一些特殊的方式，要大費周章這樣做
還要在被patch掉之前再利用別的漏洞讓大家感染這機率更是
微乎其微...真要搞也是國家等級資安單位和最頂尖的駭客了.

至於pdf的漏洞老實說比flash還多，Office的洞最少修正的比
較快而且研究的人多警告發布迅速，pdf的每次都是拖很久才
被發現然後再拖很久才補洞....pdf attack這詞應該很多MIS
都知道才是.

說到這個，之前看過有人分享一個 windows 提權的樣本，依照其編譯日期，再查 virustotal 紀錄，發現大約沒幾天就被扔上 virustotal 了，作者一定超嘔 :laugh:



對啊，只是今天第一次聽到第三方 reader 也會受害，再餵 Google 後發現不是空穴來風，長知識了，我觀念還停留在官方 reader 才會受害 :ase

嗯∼
不過廠商也在補

像comodo在沙盤花不少心力

8版沙盤內又多個viruscope 檢測功能

感謝野口大~ 我先開了UAC暫時擋著用. 不過最重要的還是警覺性跟使用習慣.

難怪最近有奇怪的quotation附檔來自於我從來沒接觸過且信件無內容就一個附檔跟連結.

下次就直接刪除了~ (我目前是還沒點開來看, 提出來讓一些有在工作的人知道這情況)

掃得到跟擋得住是兩回事 01有幾位是用小紅傘中的 包括使用正版的 其中一位還說都已經認賠付費解完密碼 小紅傘才警告說中毒

小紅傘感覺對這類也不太行....
主防也不是這家強項
沒掃到先中，後面入庫也來不及......

大部分防毒軟體都可以抓到的。
但如果不是主動掃秒。
應該都是病毒執行時才會被攔截到。
但等病毒被攔截到的時候。
其實已經完成一部分的加密了。

還是換掉不安全的瀏覽器比較好
跳出廣"告可能不知不覺已經下料了~~
要發現就太晚了 IE直接停用 開啟UAC
擋廣"告的自己已經掛到三個了....