查看: 9276|回复: 11
收起左侧

[技术探讨] 大家一起来玩,WD 的Spursint杀

[复制链接]
驭龙
发表于 2016-7-5 13:20:34 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2016-7-5 14:07 编辑

有人说WD的Spursint报法不是万物杀,好,大家来玩这个附件吧,我是用TXT创建的文件,然后把后缀改为EXE,放入压缩包,完全不是威胁,大家可把附件改成TXT打开,看看内容。

制作方法,切记关闭WD以及MsMpEng进程,创建TXT文件,随便打一些内容,改文件后缀为EXE,用7Z压缩,上传到网络上,然后反复下载几次,首次不会杀的


之前我在别的帖子做的测试,WD不负众望,报Spursint杀。


日志如下:
Internal signature match:subtype=Lowfi, sigseq=0x00003596511D2EE6, signame=ALF:IOAVTopLevel7zFile, cached=false, resource="\\?\D:\Users\wd\Downloads\WD误报不?.7z"
2016-07-05T05:02:40.974Z Dynamic signature received
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:D:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\52665d5cebc2fa8c6713a6aadc4935d33d312a15
Dynamic Signature Compilation Timestamp:07-05-2016 13:02:38
Persistence Type:Duration
Time remaining:3600000
2016-07-05T05:02:41.162Z Task(GetDeviceTicket -AccessKey 7FBC3759-FB14-A46F-A48E-EECD9D72D8C6 -UserTicket) launched as logged in live user
2016-07-05T05:02:41.505Z Task(GetDeviceTicket -AccessKey B71CE920-51CA-C048-0DB1-123CE35C05A2 ) launched as network service
2016-07-05T05:02:41.662Z DETECTIONEVENT Trojan:Win32/Spursint.A!cl file:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599;file:D:\Users\wd\Downloads\WD误报不?.7z;internalfileproxy:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|D:\Users\wd\Downloads\WD误报不?.7z;webfile:D:\ProgramData\Microsoft\Windows Defender\LocalCopy\{F455FACB-1D67-42A5-8681-B141EDEA212D}-763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|https://att.kafan.cn/forum.php?mo ... NzM4NTcx;webfile:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|https://att.kafan.cn/forum.php?mo ... NzM4NTcx;webfile:D:\Users\wd\Downloads\WD误报不?.7z|https://att.kafan.cn/forum.php?mo ... MzNTMwMXwxNzM4NTcx;
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl file:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl file:D:\Users\wd\Downloads\WD误报不?.7z
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl internalfileproxy:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|D:\Users\wd\Downloads\WD误报不?.7z

不过要触发Spursint杀,需要稳定的网络,和自带浏览器直接下载到下载文件夹,才触发Spursint。

当然本测试只是现在的情况,不代表以后的WD是否继续这种玩法,或许说不定哪天就改玩法也说不定呢?
测试日期2016年7月5日 13:20

再补个本帖测试图


另外说一下这跟本地反馈有关,过一段时间,可能就不杀了。
看我这里有时候也不杀了,真的是有时杀有时不杀,哈哈。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
胖福
发表于 2016-7-5 15:21:02 | 显示全部楼层
这个实在是牛,诺顿都比不了,至少下载智能分析会识别文件格式!
诸葛亮
发表于 2016-7-5 15:27:18 | 显示全部楼层
这的确有点丧心病狂。。。
HEMM
发表于 2016-7-5 16:32:56 | 显示全部楼层
不想玩这个- -......
我还是那句话,信誉控制不好的话,误报会很高。微软太自信。
pal家族
发表于 2016-7-5 16:36:57 | 显示全部楼层
本帖最后由 pal家族 于 2016-7-5 16:39 编辑

感觉各大厂里拉黑最靠谱只有卡巴了~~~~

还有eset吧
540923555
发表于 2016-7-5 16:56:19 | 显示全部楼层
这个万物杀目前我常用网站里只对卡饭有效。。。。我怀疑是拉黑的卡饭附件,以及出现在卡饭的链接。。。别的网站都没事。。。百度网盘也只对卡饭的样本有用。。。。别的论坛的百度云网址都没事

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 神马都是浮云!

查看全部评分

ELOHIM
发表于 2016-7-5 17:19:29 | 显示全部楼层
540923555 发表于 2016-7-5 16:56
这个万物杀目前我常用网站里只对卡饭有效。。。。我怀疑是拉黑的卡饭附件,以及出现在卡饭的链接。。。别的 ...


记得我曾经上报样本的时候提到过样本来源,卡饭病毒样本区。
可是,现在微软针对卡饭所有附件开始反击。
我怕,有一天,微软把卡饭看做隐藏于天朝的一个赌窝。
那至少证明,现在的附件拉黑杀还是轻的……
windows7爱好者
发表于 2016-7-5 19:05:14 | 显示全部楼层
ELOHIM 发表于 2016-7-5 17:19
记得我曾经上报样本的时候提到过样本来源,卡饭病毒样本区。
可是,现在微软针对卡饭所有附件开 ...

scep是啥来着,我给忘了...
卡饭已经成为中国在国外眼里的黑客聚集地
ELOHIM
发表于 2016-7-5 19:17:28 | 显示全部楼层
windows7爱好者 发表于 2016-7-5 19:05
scep是啥来着,我给忘了...
卡饭已经成为中国在国外眼里的黑客聚集地

其实大牛都隐了,跳动的都是寂寞的……
jasonliul
头像被屏蔽
发表于 2016-7-5 20:28:14 | 显示全部楼层
今年MSE让出免费第一, 社区很象征的给了WD[Win10]最快进步奖.

MSC已经作古了, 非win10用户连4.9都不用升级, 变味的鸡蛋, 再炒几遍还是那个味

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 00:04 , Processed in 0.141834 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表