大家一起来玩，WD 的Spursint杀

显示全部楼层 · 发表于 2016-7-5 13:20:34

本帖最后由驭龙于 2016-7-5 14:07 编辑

有人说WD的Spursint报法不是万物杀，好，大家来玩这个附件吧，我是用TXT创建的文件，然后把后缀改为EXE，放入压缩包，完全不是威胁，大家可把附件改成TXT打开，看看内容。

制作方法，切记关闭WD以及MsMpEng进程，创建TXT文件，随便打一些内容，改文件后缀为EXE，用7Z压缩，上传到网络上，然后反复下载几次，首次不会杀的

之前我在别的帖子做的测试，WD不负众望，报Spursint杀。

日志如下：

Internal signature match:subtype=Lowfi, sigseq=0x00003596511D2EE6, signame=ALF:IOAVTopLevel7zFile, cached=false, resource="\\?\D:\Users\wd\Downloads\WD误报不？.7z"
2016-07-05T05:02:40.974Z Dynamic signature received
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:D:\ProgramData\Microsoft\Windows Defender\Scans\\RtSigs\Data\52665d5cebc2fa8c6713a6aadc4935d33d312a15
Dynamic Signature Compilation Timestamp:07-05-2016 13:02:38
Persistence Type:Duration
Time remaining:3600000
2016-07-05T05:02:41.162Z Task(GetDeviceTicket -AccessKey 7FBC3759-FB14-A46F-A48E-EECD9D72D8C6 -UserTicket) launched as logged in live user
2016-07-05T05:02:41.505Z Task(GetDeviceTicket -AccessKey B71CE920-51CA-C048-0DB1-123CE35C05A2 ) launched as network service
2016-07-05T05:02:41.662Z DETECTIONEVENT Trojan:Win32/Spursint.A!cl file:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599;file:D:\Users\wd\Downloads\WD误报不？.7z;internalfileproxy:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|D:\Users\wd\Downloads\WD误报不？.7z;webfile:D:\ProgramData\Microsoft\Windows Defender\LocalCopy\{F455FACB-1D67-42A5-8681-B141EDEA212D}-763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|https://att.kafan.cn/forum.php?mo ... NzM4NTcx;webfile:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|https://att.kafan.cn/forum.php?mo ... NzM4NTcx;webfile:D:\Users\wd\Downloads\WD误报不？.7z|https://att.kafan.cn/forum.php?mo ... MzNTMwMXwxNzM4NTcx;
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl file:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl file:D:\Users\wd\Downloads\WD误报不？.7z
2016-07-05T05:02:41.708Z DETECTION_ADD Trojan:Win32/Spursint.A!cl internalfileproxy:D:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\763D271A-F53C-3D2E-9E1D-939263FAC158_1d1d7439fa04599|D:\Users\wd\Downloads\WD误报不？.7z

不过要触发Spursint杀，需要稳定的网络，和自带浏览器直接下载到下载文件夹，才触发Spursint。

当然本测试只是现在的情况，不代表以后的WD是否继续这种玩法，或许说不定哪天就改玩法也说不定呢？
测试日期2016年7月5日 13:20

再补个本帖测试图

另外说一下这跟本地反馈有关，过一段时间，可能就不杀了。
看我这里有时候也不杀了，真的是有时杀有时不杀，哈哈。

显示全部楼层 · 发表于 2016-7-5 15:21:02

这个实在是牛，诺顿都比不了，至少下载智能分析会识别文件格式！

显示全部楼层 · 发表于 2016-7-5 15:27:18

这的确有点丧心病狂。。。

显示全部楼层 · 发表于 2016-7-5 16:32:56

不想玩这个- -......
我还是那句话，信誉控制不好的话，误报会很高。微软太自信。

显示全部楼层 · 发表于 2016-7-5 16:36:57

本帖最后由 pal家族于 2016-7-5 16:39 编辑

感觉各大厂里拉黑最靠谱只有卡巴了~~~~

还有eset吧

显示全部楼层 · 发表于 2016-7-5 16:56:19

这个万物杀目前我常用网站里只对卡饭有效。。。。我怀疑是拉黑的卡饭附件，以及出现在卡饭的链接。。。别的网站都没事。。。百度网盘也只对卡饭的样本有用。。。。别的论坛的百度云网址都没事

显示全部楼层 · 发表于 2016-7-5 17:19:29

540923555 发表于 2016-7-5 16:56
这个万物杀目前我常用网站里只对卡饭有效。。。。我怀疑是拉黑的卡饭附件，以及出现在卡饭的链接。。。别的 ...

记得我曾经上报样本的时候提到过样本来源，卡饭病毒样本区。
可是，现在微软针对卡饭所有附件开始反击。
我怕，有一天，微软把卡饭看做隐藏于天朝的一个赌窝。
那至少证明，现在的附件拉黑杀还是轻的……

显示全部楼层 · 发表于 2016-7-5 19:05:14

ELOHIM 发表于 2016-7-5 17:19
记得我曾经上报样本的时候提到过样本来源，卡饭病毒样本区。
可是，现在微软针对卡饭所有附件开 ...

scep是啥来着，我给忘了...
卡饭已经成为中国在国外眼里的黑客聚集地

显示全部楼层 · 发表于 2016-7-5 19:17:28

windows7爱好者发表于 2016-7-5 19:05
scep是啥来着，我给忘了...
卡饭已经成为中国在国外眼里的黑客聚集地

其实大牛都隐了，跳动的都是寂寞的……

显示全部楼层 · 发表于 2016-7-5 20:28:14

今年MSE让出免费第一, 社区很象征的给了WD[Win10]最快进步奖.

MSC已经作古了, 非win10用户连4.9都不用升级, 变味的鸡蛋, 再炒几遍还是那个味

[技术探讨] 大家一起来玩，WD 的Spursint杀

本帖子中包含更多资源

评分