经过NTFS流隐藏的木马[ad8870]

显示全部楼层 · 发表于 2007-7-9 17:26:56

原帖由 promised 于 2007年7月9日 17:25 发表
JOTTI是LINUX的
引擎可能有偏差

这个我倒不知道……
能否推荐几个Windows引擎的在线扫描网站？

显示全部楼层 · 发表于 2007-7-9 17:27:03

红伞最近MS在样本区里没那么出风头了啊,出风头的是VBA32和IKALUS

显示全部楼层 · 发表于 2007-7-9 17:32:34

detected: Trojan program Backdoor.Win32.Delf.axh File: C:\Documents and Settings\Owner\×ÀÃæ\muma.rar/muma.exe//data.rar/:s.exe//data.rar/s.exe//UPX
detected: Trojan program Backdoor.Win32.Bifrose.adr File: C:\Documents and Settings\Owner\×ÀÃæ\muma.rar/muma.exe//data.rar/:vvqq.exe//NSPack

显示全部楼层 · 发表于 2007-7-9 17:32:43

刚才看了一下

VBA32，NOD32在压缩包情况下也是不解包的
因为内嵌3层要解，杀软自己忽略了

我想呢，VBA32基于命令行的，不管是LINUX，WINDOWS都一样

[ 本帖最后由 promised 于 2007-7-9 17:35 编辑 ]

显示全部楼层 · 发表于 2007-7-9 17:33:15

费尔 WScript.Shell.Run.Cmd

显示全部楼层 · 发表于 2007-7-9 17:35:13

kav3.5报后门

显示全部楼层 · 发表于 2007-7-9 17:36:41

费尔居然只报脚本？！那个里边可是有两个木马的！没有查出来吗？

显示全部楼层 · 发表于 2007-7-9 17:37:24

能否告知病毒名？

显示全部楼层 · 发表于 2007-7-9 17:38:08

这是nod32的一个bug。。。。

显示全部楼层 · 发表于 2007-7-9 17:40:52

嗯，好像不只是NOD32，很多杀毒软件，尤其是国外杀毒软件，默认配置下都不解包，即便解包，对于多层压缩也很难全部解开……

经过NTFS流隐藏的木马[ad8870]

回复 #11 SONGBOWEN 的帖子

回复 #16 287669789 的帖子

回复 #14 promised 的帖子

回复 #19 EQ2 的帖子